Dockerでは、厳格な基準に従って強化されたイメージを構築しています。それは、人間が依然として最高のセキュリティアーキテクトであるため、手作業で慎重に作成することを意味します。とはいえ、私たちはAIの価値を理解しており、Docker Hardened Image(DHI)ビルドプロセスの重要な局面で追加の目としてAIを展開しています。この二重のアプローチにより、ユーザーはより優れたカバレッジとより安全な製品を利用できます。人間は完璧ではありませんが、AI は人間をより良くするのに役立ちます。ここでは、DHIに使用するAIツールがバグを発見し、製品の安全性を高め、コミュニティに貢献した最近の例を紹介します。
AI ガードレールがどのように介入したか
アップストリームリリースの自動化により、nginx-exporterの定期的なバージョンバンプが開かれました。リリースプロセスの一環として、DHI AI ガードレールは、バンプが引き込むアップストリームの差分を取得し、言語認識チェックでスキャンしました。エクスポーターの新しいプロキシプロトコルパスで古典的なロジックの反転を発見し、PRの自動マージをすぐにブロックしました。問題を再現し、診断を確認し、上流の小さな修正を送信しました。ガードレールがラインを固定していたため、顧客はバグを見ることはありませんでした。
その順序は重要です。通常の依存関係の更新は、回帰を通過して出荷します。代わりに、Docker の AI ガードレールは、バーのドアにあるリリース バウンサーのように機能しました。AIガードレールは、入ろうとしているものを見て、リスクパターンを認識し、侵入してトラブルを引き起こすのを阻止しました。その後、人間の Docker エンジニアがフラグが立てられた問題を読み取り、障害を証明して修正を送信しました。その後、 修正はプロジェクトによって受け入れられ、コードベースが改善されました。したがって、この修正により DHI が改善されただけでなく、すべての人にとってプロジェクトも改善されました。
修正プルリクエストはアップストリームのメンテナーによってレビューおよび承認されていますが、DHIビルドパイプラインはパッチを適用し、パッチが適用された新しいバージョンをお客様に出荷しました。顧客が自分の環境でリグレッションを決して見ないようにします。
AI支援DHIプロセス
皮肉なことに、標準の AI コーディング アシスタントは欠陥に気づきませんでした。これが、独自の内部 AI ガードレールを持つことが非常に重要である理由です。これらは、汎用コーディングアシスタントから得るのが難しい追加のサポート層と専門性を提供します。
これが、AI をパイプラインにどのように表示してもらいたいかということです。工学的判定の代替ではなく、安全のための力倍増器だ。ガードレールは、逆エラーチェック、無視された障害、リソースの誤った取り扱いや不審なコントリビューターのアクティビティなど、大きな問題を引き起こす可能性のある、レバレッジの高い問題の狭いセットに焦点を当てています。
この例では、階層化された保護手段の値も示しています。私たちは、上流バージョンを受け入れて最善を期待するだけではありません。AI ガードレールは、何が変更されたのかを精査します。私たちのポリシーでは、信頼度の高い調査結果をハードストップとして扱います。次に、人間が検証し、動作を再現し、最小の正しいパッチを適用します。そうして初めて、リリースは前進します。最高のセキュリティは、事後対応ではなく、予防的です。
上でほのめかしたように、AI ガードレールには、より広範なオープンソースの重要な利点があります。DHI は何百ものコミュニティ プロジェクトに依存しており、その中には月に数百万回、場合によっては数十億回ダウンロードされるものもあります。DHI AI ガードレールで問題が表面化した場合、デフォルトではプライベート パッチを適用するのではなく、上流で修正します。これにより、イメージがクリーンに保たれ、長期的なメンテナンスが軽減され、すべてのダウンストリームユーザーにより良いベースラインが与えられます。また、AI の異常検出、人間の判断、およびその後のコード修正の恩恵を受ける上流プロジェクトにも役立ちます。
それでは、タイトルに戻ります。DHI はエンジニアによって作成されていますが、AI によって保護されています。当社のガードレールは、コンテキストを使用してアップストリームの差分を読み取り、リスクのあるパターンを認識し、信頼度をスコアリングし、合格しないマージをブロックする、アクティブで継続的に改善される AI です。適切に適用された AI は、より迅速なレビュー、より厳密なパッチ、より少ないリグレッションにより、人間の作業を改善するのに役立ちます。
これが私たちが最適化しているパートナーシップです。人間は意図を設定し、設計判断を行い、特徴を船にします。AI は重要なゲートで規律を強制します。何よりも、すべての漁獲量が将来のスキャンのためにモデル信号に供給されるため、エコシステムの進化に合わせて保護が改善されます。全体として、これにより、オープンソースエコシステム全体のセキュリティが強化されます。
これは、Docker、お客様、そしてコミュニティにとっての勝利です。