Cisco開源Project CodeGuard程式碼安全框架，推動預設即安全開發

Cisco開源人工智慧生成程式碼安全框架Project CodeGuard，將預設即安全的規則嵌入規畫、生成與生成後審查3個階段，目標是在不拖慢開發節奏下，降低寫死金鑰、缺少輸入驗證與仰賴終止維護的相依套件等常見風險的發生機率。官方提到，此框架定位為縱深防禦的一環，並非取代工程判斷與同儕審查。

CodeGuard提供3項重點內容，分別是依據OWASP與CWE等既有指南整理的核心安全規則，將規則轉換為主流人工智慧程式開發代理可用格式的自動化腳本，以及協助採用與貢獻的文件。Cisco強調規則可在設計與規格擬定階段引導安全模式，在程式產生中即時避免不安全程式碼片段，並在生成後輔助檢視與驗證，文章中點名Cursor、GitHub Copilot、Codex、Windsurf與Claude Code可於生成後的程式碼審查流程使用。

CodeGuard中的規則可跨流程發揮作用，以輸入驗證為例，規則在程式碼生成中建議安全處理樣式，在互動過程即時標示可疑輸入流程，生成後再確認是否具有適當的過濾與驗證。秘密管理則避免產生寫死的憑證，偵測敏感資料樣式，並驗證憑證是否外部化與安全配置。官方提醒規則並不保證個別輸出絕對安全，標準工程實務仍應並行。

Cisco現已於GitHub建立project-codeguard組織並公開儲存庫rules，讀我檔說明涵蓋範疇包含密碼學與後量子密碼學、輸入驗證、身分驗證與授權、供應鏈與SBOM、雲端與Kubernetes實務、平臺與API安全與資料保護等，並提供規則轉換與驗證工具。授權模式採雙授權，規則與文件採CC BY 4.0，工具與原始碼採Apache 2.0。

Cisco邀請社群提交新規則、撰寫轉換器與回饋，以擴充語言支援、整合更多人工智慧程式開發平臺並推進自動化規則驗證。