۸ فروشنده‌ای که هوش مصنوعی را به DevSecOps و امنیت برنامه‌های کاربردی می‌آورند

از رفع خودکار آسیب‌پذیری‌ها تا بررسی لحظه‌ای کد تولید شده توسط هوش مصنوعی، هوش مصنوعی در هر مرحله از فرآیند توسعه نرم‌افزار بر امنیت تأثیر می‌گذارد.

در مراسم Black Hat USA 2025 و DEF CON 33، جو بین عرضه‌کنندگان امنیت برنامه‌ها ترکیبی از خوش‌بینی و ضرورت بود. در سراسر سالن‌های نمایش و ارائه‌ها، یک مضمون برجسته شد: هوش مصنوعی دیگر تنها یک واژه‌پرنده یا ویژگی افزودنی نیست؛ بلکه در حال تبدیل به پایهٔ امنیت نرم‌افزارهای مدرن است.

از رفع خودکار آسیب‌پذیری‌ها تا حاکمیت هوش مصنوعی، این استارت‌آپ‌ها و ارائه‌دهندگان مستقر در حال ادغام هوشمندی در هر لایهٔ خط لولهٔ devops و devsecops هستند. عرضه‌کنندگان با اشتیاق دربارهٔ وعدهٔ هوش مصنوعی برای تسریع تحویل و امنیت نرم‌افزار سخن می‌گویند و از خطرات واقعی ناشی از اشتباه بودن آن هشدار می‌دهند. همان‌طور که رندال دگس، رئیس روابط توسعه‌دهندگان و امنیت در Snyk گفت: «آیا خیال نمی‌کنید که اگر امنیت می‌توانست مستقیم بخشی از کدنویسی باشد، چیزی که توسعه‌دهندگان هرگز به آن فکر نمی‌کنند، جالب باشد؟»

برای برخی، این به معنای استفاده از large language models برای کشف آسیب‌پذیری‌های «shadow-patched» است که هرگز CVE دریافت نمی‌کنند. «حتی اگر هیچ کاری اشتباه نکنید، برنامهٔ شما می‌تواند به دلیل زنجیره تأمین منبع باز آسیب‌پذیر بماند»، مگزنزی جکسون، مدافع توسعه‌دهندگان در Aikido Software، که صدها نقص مخفی این چنینی را یافته است، گفت. دیگران بر تمیز کردن پایهٔ خود تمرکز می‌کنند. رویکرد «farm-to-table» Chainguard برای تصاویر پایهٔ سخت‌سازی‌شده تضمین می‌کند که برخی CVEها «هرگز در اسکن‌ها ظاهر نمی‌شوند»، طبق گفتهٔ دستین کلیند، معاون فناوری Chainguard.

چندین عرضه‌کننده در حال بررسی این هستند که چگونه هوش مصنوعی می‌تواند امنیت را هم سریع‌تر و هم قابل اطمینان‌تر کند. به عنوان مثال، Checkmarx در حال ادغام عوامل هوش مصنوعی مستقیماً در IDEهای بومی هوش مصنوعی مانند Windsurf و Cursor است تا راهنمایی‌های کدنویسی ایمن به‌صورت زمان واقعی به توسعه‌دهندگان ارائه دهد. در همان زمان، عرضه‌کنندگان امنیت برنامه‌ها خطرات کد تولید شده توسط هوش مصنوعی را هشدار می‌دهند و برای حاکمیت و شفافیت در مدل‌ها فشار می‌آورند. «هوش مصنوعی سایه‌ای، IT سایه‌ای جدید است»، میتچل جانسون، مدیر توسعه محصول در Sonatype، گفت.

به طور کلی، احساس واضح است. امنیت دیگر فقط دربارهٔ یافتن مشکلات نیست؛ بلکه دربارهٔ رفع آن‌ها به سریع‌ترین و کم‌اختلال‌ترین روش ممکن است. این هشت شرکت با هم نشان می‌دهند که امنیت برنامه‌ها و امنیت زنجیره تأمین نرم‌افزار به کجا می‌رود.

امنیت Aikido

Aikido Security به خطراتی که شرکت آن «shadow-patched» می‌نامد در زنجیره‌های تأمین منبع باز می‌پردازد. در حالی که بیشتر برنامه‌های AppSec بر افشاهای NVD و CVE تکیه دارند، Aikido اشاره می‌کند که بخش قابل توجهی از آسیب‌پذیری‌ها هرگز به این پایگاه‌های داده نمی‌رسند و بنابرین سازمان‌ها در معرض خطراتی هستند که نمی‌توانند آنها را پچ یا ردیابی کنند.

برای پر کردن این خلأ، Aikido از large language models برای استخراج تاریخچه‌های commit و اختلافات کد در میلیون‌ها پروژهٔ منبع باز استفاده می‌کند. این مدل‌ها commitهای مشکوکی را که شبیه اصلاحات امنیتی هستند، حتی زمانی که CVE وجود نداشته باشد، نشان می‌دهند. تحلیل‌گران انسانی سپس این یافته‌ها را تأیید می‌کنند پیش از اینکه به Aikido Intel، خوراک تهدیدهای منبع باز شرکت، وارد شوند. از زمان راه‌اندازی در سال ۲۰۲۴، شرکت اعلام کرده است که ۵۱۱ آسیب‌پذیری ناشناخته پیشین را کشف کرده است، شامل اشکالات بحرانی در پروژه‌هایی مانند Craft CMS، etcd و LangChain. بیش از نیمی از این باگ‌های بحرانی هرگز CVE دریافت نکرده‌اند، به این معنی که سازمان‌هایی که به خوراک‌های «رسمی» تکیه دارند، به‌طور کامل این موارد را از دست می‌دهند.

با نظارت روزانه بر بیش از ۳۰,۰۰۰ نسخهٔ جدید بسته در npm، PyPI و دیگر اکوسیستم‌ها، سیستم کشف تهدید مبتنی بر هوش مصنوعی Aikido به دنبال بارگذاری‌های مخفی، دزدهای اعتبارنامه و بدافزارهای مبهم می‌گردد. یک کشف اخیر شامل یک فورک مخرب از SDK ارزهای دیجیتال که توسط صرافی‌ها استفاده می‌شود، بود؛ در حالی که دیگری گونه‌های بدافزار بسیار مبهمی را که در کتابخانه‌های محبوب نهفته بود، آشکار کرد.

برای ادغام محافظت مستقیم در جریان کار توسعه‌دهندگان، Safe Chain را معرفی کرد؛ یک بستهٔ منبع باز که دور npm cli، npx، yarn، pnpm و pnpx می‌پیچد و قبل از نصب به‌صورت خودکار بسته‌ها را با پایگاه دادهٔ بدافزارهای Aikido مقایسه می‌کند. به گفتار Aikido، Safe Chain «گاردریل‌های بدون اصطکاک» را در محیطی فراهم می‌کند که در آن shadow patches، آسیب‌پذیری‌های منتشر نشده و بدافزارهای زنجیره تأمین به تدریج اعتماد به منبع باز را فرساییده می‌کند.

Chainguard

Chainguard، که توسط مهندسان پیشین گوگل با تجربه عمیق در توزیع‌های لینوکس و امنیت زنجیره تأمین تأسیس شد، ارائه‌دهنده بسته‌های نرم‌افزار منبع باز سخت‌سازی‌شده و به‌روز مداوم «zero-CVE» است، از تصاویر پایهٔ سیستم‌عامل تا تصاویر کانتینر کمینه، کتابخانه‌های زبانی و دستگاه‌های مجازی. شرکت بر تیم‌های devsecops تمرکز دارد، با راه‌حل‌هایی که برای هر دو توسعه‌دهنده و معماران امنیت پایهٔ قابل اطمینان‌تری برای ساخت و اجرای نرم‌افزار فراهم می‌کند.

محصول اصلی یک توزیع لینوکس مداوم است که با سرویس‌سطح توافق (SLA) امنیتی پشتیبانی می‌شود: هفت روز برای آسیب‌پذیری‌های بحرانی و ۱۴ روز برای سایر موارد، هرچند زمان متوسط رفع تحت ۴۸ ساعت است، طبق گفته شرکت. Chainguard می‌گوید فهرست در حال رشد خود را با بیش از ۱,۶۰۰ تصویر کانتینر نگهداری می‌کند که ماهانه حدود ۱۰۰ تصویر افزوده می‌شود، هر کدام مستقیماً از منبع اصلی ساخته می‌شوند نه از توزیع دیگری. این رویکرد «farm-to-table» تضمین می‌کند که کل زنجیره ابزارها، شامل کامپایلرها، زمان اجراها و وابستگی‌ها، در عرض ساعت‌های پس از به‌روزرسانی منبع اصلی بازسازی، تست مجدد و دوباره منتشر می‌شوند.

کتابخانه‌های Chainguard، ساخت‌های امنی از بسته‌های پرکاربرد جاوا و پایتون هستند و کتابخانه‌های Node.js در برنامه‌راه‌اندازی بعدی قرار دارند. Chainguard می‌گوید ساخت کتابخانه‌ها از منبع، یک خلأ رایج را برطرف می‌کند؛ جایی که توسعه‌دهندگان کدهای شخص ثالث را مستقیماً از اینترنت دریافت می‌کنند بدون حفاظت‌های توزیع بسته‌بندی‌شده. خط محصول سوم، ماشین‌های مجازی Chainguard، همان فلسفهٔ حداقل و سخت‌سازی‌شده را به دستگاه‌های VM هدف‌مند اعمال می‌کند که اغلب به‌عنوان گره‌های کارگر Kubernetes یا در استقرارهای ابری مقیاس‌پذیر استفاده می‌شوند. در بسیاری از موارد، تصاویر کانتینر از فهرست Chainguard می‌توانند به‌عنوان دستگاه‌های VM قابل بوت برای بارهای کاری که نیاز به دسترسی کامل سطح‌سیستم‌عامل به منابع سخت‌افزاری دارند، تهیه شوند.

Chainguard به‌صورت مستمر پروژه‌های منبع اصلی را برای نسخه‌های جدید یا آسیب‌پذیری‌ها پایش می‌کند و بازسازی‌ها، تست‌های یکپارچه‌سازی و انتشار به رجیستری‌های مشتریان را فعال می‌سازد. برای تیم‌های امنیتی، Chainguard می‌گوید شروع با یک تصویر پایهٔ پاک و تأییدشده به این معناست که برخی CVEها «هرگز در اسکن‌ها ظاهر نمی‌شوند» چون پیش از استقرار به‌طور کامل حذف می‌شوند. وقتی مشکلات بروز می‌کند، رفع آنها در واحد ساعت اندازه‌گیری می‌شود نه هفته‌ها، به گفته شرکت.

Checkmarx

در Black Hat 2025، Checkmarx، که مجموعه‌ای از ابزارهای امنیت برنامه را در پلتفرم Checkmarx One ارائه می‌دهد، Checkmarx One Developer Assist را معرفی کرد؛ اولین محصول در مجموعه‌ای از عوامل امنیتی مبتنی بر هوش مصنوعی که برای IDEهای بومی هوش مصنوعی مانند Windsurf، Cursor و GitHub Copilot طراحی شده‌اند. Developer Assist راهنمایی‌های کدنویسی ایمن را مستقیماً به جریان کار توسعه‌دهنده می‌آورد و به توسعه‌دهندگان نرم‌افزار کمک می‌کند تا به‌محض نوشتن کد، به جای پس از آن، به آسیب‌پذیری‌ها پردازند.

علاوه بر این، Checkmarx دو عامل Assist آینده را پیش‌نمایش داد که انتظار می‌رود در پایان سال جاری عرضه شوند. عامل Policy Assist، هنگام حرکت کد در خط لوله CI/CD، آسیب‌پذیری‌ها را شناسایی و رفع می‌کند، در حالی که عامل Insights Assist دید زمان واقعی به وضعیت ریسک را فراهم می‌کند. شرکت همچنان «دستیار کدنویسی ایمن هوش مصنوعی» (ASCA) خود را برای IDEهای سنتی یکپارچه شامل Visual Studio Code، Visual Studio و IDEهای JetBrains ارائه می‌دهد، به‌همراه افزونه‌های جدید برای Windsurf و Cursor.

یک تمایز کلیدی پلتفرم Checkmarx، گستردگی رویکردهای تستی است. با تست ایستاتیک امنیت برنامه (SAST)، تجزیه و تحلیل ترکیب نرم‌افزار (SCA)، و اسکن/آزمون امنیتی برای APIها، تصاویر کانتینری، و زیرساخت به‌عنوان کد (IaC)، به‌علاوه قابلیت‌های مدیریت وضعیت امنیت برنامه (ASPM)، این پلتفرم نمایی یکپارچه از ریسک نرم‌افزار برای سازمان‌های توسعه نرم‌افزار فراهم می‌کند. با جمع‌آوری نتایج آسیب‌پذیری، بینش‌های ریسک و راهنمایی‌های رفع در یک نمای واحد، Checkmarx One به تیم‌ها کمک می‌کند تا مشکلات را زودتر شناسایی و سریع‌تر رفع کنند.

GitHub

GitHub، خانهٔ بیشتر پروژه‌های منبع باز جهان، از یک سیستم مدیریت کد منبع به یک پلتفرم کامل همکاری تبدیل شده است—در ابتدا برای توسعه‌دهندگان، سپس برای توسعه‌دهندگان و تیم‌های امنیتی، و اکنون برای توسعه‌دهندگانی که همراه با عامل‌های هوش مصنوعی کار می‌کنند. فلسفه امنیتی شرکت فراتر از شناسایی آسیب‌پذیری می‌رود تا امکان رفع کارآمد و در مقیاس بزرگ را فراهم سازد، به‌ویژه در دورانی که کد تولید شده توسط هوش مصنوعی به سرعت خروجی توسعه را افزایش می‌دهد. اولاً، GitHub کار با مسائل را برای تیم‌های توسعه آسان‌تر می‌کند با شناسایی زودهنگام و ادغام اصلاحات مستقیماً در جریان کار عادی توسعه. دوماً، این پلتفرم می‌تواند یک کتابخانهٔ آسیب‌پذیر را یک‌بار شناسایی کرده و اصلاحات یا هشدارها را در تمام مخازن و تیم‌های استفاده‌کننده پخش کند—که می‌تواند میلیون‌ها مورد باشد.

GitHub اخیراً بهبودهایی در ویژگی «کارزارهای امنیتی» خود معرفی کرد. کارزارهای امنیتی به تیم‌های امنیت اجازه می‌دهند که آسیب‌پذیری‌ها را مستقیماً در جریان کار GitHub فیلتر، اولویت‌بندی و اختصاص دهند، بدون نیاز به خروج توسعه‌دهندگان از محیط خود برای انجام کارهای امنیتی. GitHub برای ادغام زمینه از محیط‌های تولید به فرآیندهای اولویت‌بندی، از یکپارچه‌سازی با Microsoft Defender for Cloud استفاده کرده است، هرچند جزئیات دقیق اولویت‌بندی زمان اجرا در کارزارها به‌صورت عمومی مستند نشده است. هدف ارائهٔ مشکلات اولویت‌بندی‌شده با زمینهٔ غنی به توسعه‌دهندگان است، که با «اتوماتیک‌سازی اصلاحات» تقویت می‌شود؛ که GitHub می‌گوید می‌تواند قبل از پیشنهاد به‌وسیلهٔ چک‌های اضافی اعتبارسنجی شود.

با GitHub Copilot و Copilot agents که در این فرایند یکپارچه شده‌اند، عوامل کدنویسی می‌توانند به‌صورت خودکار اصلاحات را تکرار کنند، در حالی که توسعه‌دهنده در نهایت برای تأیید نهایی حضور دارد و خطرات تغییرات تولیدشده توسط هوش مصنوعی کاهش می‌یابد. هدف، به گفتهٔ GitHub، این است که امنیت را به‌عنوان بخشی یکپارچه از جریان‌های کاری توسعه، از ایجاد کد تا بررسی درخواست‌های کششی، ادغام کند، نه به‌عنوان یک فکر پس از کار، در حالی که اکوسیستم باز و نظارت انسانی حفظ می‌شود.

JFrog

JFrog یک پلتفرم devsecops ارائه می‌دهد که هدف آن یکپارچه‌سازی امنیت زنجیره تأمین نرم‌افزار با تحویل پیوسته است. تمرکز آن بر این است که به توسعه‌دهندگان و تیم‌های امنیت نمایی یکپارچه از کد منبع، باینری‌ها، کانتینرها و محیط‌های زمان اجرا—که شرکت آن را «یک منبع حقیقت» می‌نامد—بدهد.

یک نکته کلیدی تمرکز بر زمینه است. به‌جای علامت‌گذاری هر CVE، JFrog آسیب‌پذیری‌ها را با کدی که در واقع در تولید اجرا می‌شود ارتباط می‌دهد، تا تیم‌ها ریسک‌های واقعی را نسبت به ریسک‌های نظری اولویت‌بندی کنند. این رویکرد همچنین به آسیب‌پذیری‌های صفر-روز گسترش می‌یابد، جایی که سازمان‌ها می‌توانند نه تنها تشخیص دهند که آیا بستهٔ متاثر در جایی از خط لوله وجود دارد، بلکه آیا فعالانه مستقر و قابلیت بهره‌برداری دارد یا خیر.

اسکن امنیتی برای وابستگی‌های متن باز، تشخیص اسرار و تجزیه‌وتحلیل کانتینرها با مدیریت آثار و انتشار JFrog یکپارچه می‌شود، مسائلی را مستقیماً به ساخت‌ها و انتشارهایی که آن‌ها را ایجاد کرده‌اند، ربط می‌دهد. این امر به کاهش نویز از مسائلی با اولویت پایین کمک می‌کند و سرعت رفع موارد مهم را افزایش می‌دهد.

مدیریت اسرار همچنان یک حوزه در حال رشد است. JFrog پوشش الگوهای اعتبارنامه را گسترش داده و از قوانین تشخیص سفارشی پشتیبانی می‌کند. شرکت این را به‌عنوان ارائه «امنیت ۳۶۰ درجه روی اسرار» توصیف می‌کند؛ با قابلیت مشاهده در کد منبع، آثار ساخت و سایر نقاط در کارخانهٔ نرم‌افزار. JFrog از مدل‌های هوش مصنوعی برای شناسایی الگوهای ریسک استفاده می‌کند، همبستگی بین ابزارهای امنیتی را بهبود می‌بخشد و خودکارسازی در جریان‌های کاری رفع را تقویت می‌کند.

Legit Security

Legit Security ارائه خود را به‌عنوان یک پلتفرم مدیریت وضعیت امنیت برنامه‌های کاربردی (ASPM) مبتنی بر هوش مصنوعی توصیف می‌کند که ریشه عمیقی در امنیت زنجیره تأمین نرم‌افزار دارد. این شرکت در ابتدا برای ایمن‌سازی «کارخانهٔ نرم‌افزار» خود به‌منظور شامل خطوط لولهٔ CI/CD، سیستم‌های کنترل نسخه، و ابزارهای همکاری توسعه‌دهنده تأسیس شد، ولی پس از آن به مدیریت آسیب‌پذیری گسترش یافت، با تأکید قوی بر زمینهٔ تجاری و رفع ریشه‌ای.

این پلتفرم داده‌ها را از اسکنرهای داخلی خود، شامل SAST، SCA، تشخیص اسرار و امنیت خطوط لوله، و از ابزارهای شخص ثالث دریافت می‌کند. این داده‌ها با زمینهٔ برنامه مانند مهمیت تجاری، حساسیت داده‌ها، مواجهه با اینترنت و تغییرات کد مهم ادغام می‌شوند. هدف Legit فیلتر کردن تعداد بیش از حد یافته‌ها به مجموعهٔ کوچکی از آسیب‌پذیری‌های قابل بهره‌برداری و تاثیرگذار است. Legit از هوش مصنوعی برای کمک به طبقه‌بندی و اولویت‌بندی نتایج استفاده می‌کند، که باعث کاهش مثبت‌های کاذب به میزان یک مرتبه می‌شود، در حالی که اطمینان می‌دهد توسعه‌دهندگان کنترل نهایی تصمیمات را در دست داشته باشند.

موتور همبستگی ریشه‌ای Legit یک تمایز قابل توجه است. به‌جای اینکه توسعه‌دهندگان با ده‌ها تیکت جداگانه برای همان مشکل اساسی روبرو شوند که در اسکن‌های SCA، اسکن‌های کانتینر و یافته‌های زمان اجرا پخش شده‌اند، Legit آن‌ها را در یک تسک «یک‌بار رفع» تجمیع می‌کند. به‌عنوان مثال، به‌روزرسانی یک نسخهٔ وابستگی آسیب‌پذیر می‌تواند به‌صورت خودکار ۷۰ هشدار آسیب‌پذیری جداگانه و تیکت‌های مربوط به Jira را حل کند، طبق گفتهٔ Legit.

نوآوری‌های اخیر شامل پیشنهادات رفع مبتنی بر هوش مصنوعی است که مطابق با کد پایه و محیط توسعه‌دهنده تنظیم می‌شود، با مرور انسانی قبل از ادغام. در ژوئن شرکت سرور «Model Context Protocol» (MCP) را عرضه کرد که بازخورد زمان واقعی دربارهٔ مسائل امنیتی را در حین تولید کد در IDEهای مجهز به هوش مصنوعی فراهم می‌کند، با برنامه‌های آینده برای تشخیص خودکار پیکربندی نادرست در زمینه. سرانجام، قابلیت‌های کشف و حاکمیت هوش مصنوعی به تیم‌های devsecops این امکان را می‌دهد تا تمام مدل‌های هوش مصنوعی مورد استفاده را فهرست کنند، چه به‌صورت رسمی پذیرفته شده باشند و چه توسط توسعه‌دهندگان وارد شده باشند، تا از پذیرش ایمن و اجرای سیاست‌ها اطمینان حاصل شود.

Snyk

Snyk ابزارهایی فراهم می‌کند که به برنامه‌نویسان کمک می‌کند کد امن بنویسند و نگهداری کنند، چه به‌صورت دستی ایجاد شوند و چه توسط هوش مصنوعی تولید شوند. این پلتفرم اسکن‌های ایستاتیک و دینامیک را ارائه می‌دهد که آسیب‌پذیری‌ها را در کانتینرها، فایل‌های زیرساخت به‌عنوان کد، وابستگی‌های منبع باز و کد منبع شناسایی می‌کند. Snyk قابلیت‌های هوش مصنوعی را یکپارچه می‌کند تا هم مسائل را شناسایی کند و هم به‌صورت زمان واقعی رفع نماید، اغلب بدون نیاز به اقدام صریح توسعه‌دهنده.

در Black Hat 2025، Snyk سه پیشرفت مرتبط با MCP را اعلام کرد. نخست، سرور Model Context Protocol که ابزارهای اسکن آن را قادر می‌سازد تا به محیط‌های کدنویسی هوش مصنوعی مدرن متصل شوند. دوم، ابزار اسکن رایگان MCP که «جریان‌های سمی» را شناسایی می‌کند؛ جایی که ترکیب توابع سرور MCP که به‌صورت ایمن به‌نظر می‌رسند، می‌تواند شرایط قابل بهره‌برداری ایجاد کند. سوم، ویژگی AI Bill of Materials (AI BoM) را گسترش داد تا دیدی به مؤلفه‌های MCP فراهم کند. AI BoM از استاندارد CycloneDX برای فهرست‌کردن هر ابزار و مدل هوش مصنوعی موجود در یک برنامه برای مقاصد انطباق و حاکمیتی استفاده می‌کند.

Snyk خود را با یک رویکرد ترکیبی به هوش مصنوعی متمایز می‌کند. برای شناسایی آسیب‌پذیری، شرکت بر هوش مصنوعی نمادین و مجموعه قوانین سفارشی ساخته‌شده از این intelligence آسیب‌پذیری خود تکیه دارد، که دقت بالایی دارد بدون تکیه بر خروجی‌های گاهی پیش‌بینی‌نشدنی مدل‌های زبانی بزرگ. برای رفع خودکار، Snyk مدل‌های کدنویسی را با مجموعه داده‌های امنیتی خود تنظیم می‌کند و اصلاحات خودکار را فقط زمانی صادر می‌کند که آزمون داخلی موفقیت ۹۵٪ یا بالاتر نشان دهد. یکپارچه‌سازی‌های عمیق با ابزارهای توسعه‌دهنده، از Visual Studio Code تا دستیاران کدنویسی هوش مصنوعی مدرن، هدف شرکت را برای ادغام بی‌درنگ امنیت در جریان‌های کاری روزانه توسعه تقویت می‌کند.

Sonatype

Sonatype بر کمک به تیم‌های توسعه نرم‌افزار سازمانی تمرکز دارد تا استفاده ایمن و مؤثر از منبع باز و هوش مصنوعی را داشته باشند. پلتفرم Sonatype بینش عمیقی دربارهٔ مؤلفه‌های منبع باز ارائه می‌دهد، که به سازمان‌ها کمک می‌کند مؤلفه‌های موجود را شناسایی، ریسک‌ها و کیفیت آن‌ها را ارزیابی و این بینش را مستقیماً در جریان‌های کاری توسعه‌دهندگان یکپارچه کنند. این امر تیم‌ها را قادر می‌سازد تصمیمات خودکار و آگاهانه درباره کتابخانه‌های منبع باز و مدل‌های هوش مصنوعی که در زنجیره تأمین نرم‌افزار خود می‌گنجانند، اتخاذ کنند.

Sonatype می‌گوید تمایز اصلی آن پهنای داده‌ها و دقت آن‌هاست. شرکت دیتابیس‌های گسترده‌ای از مؤلفه‌های منبع باز و بدافزارهای منبع باز را نگهداری می‌کند. این شرکت سعی دارد بسته‌های عمداً مخرب را تشخیص دهد، نه فقط موارد آسیب‌پذیر، و با رویکرد «انسان در حلقه» تحلیل‌های AI/ML را با یک تیم تحقیقاتی امنیت منبع باز در سطح جهان ترکیب می‌کند. به‌عنوان مدیران Maven Central و مخترعین Nexus Repository، Sonatype موقعیت منحصر به‌فردی در نظارت بر فعالیت اکوسیستم جاوا و مدیریت artefacts باینری در مقیاس دارد.

در Black Hat 2025، Sonatype قابلیت‌های جدیدی برای شناسایی و حاکمیت استفاده از هوش مصنوعی در زنجیره تأمین نرم‌افزار برجسته کرد. این ویژگی که در محصول پرچم‌دار Sonatype Lifecycle تعبیه شده است، می‌تواند ادغام مدل‌های هوش مصنوعی را شناسایی کند، از جمله «shadow AI» مانند مدل‌های مشتق شده‌ای که توسط توسعه‌دهندگان بازآموزی می‌شوند، و دید و کنترل سیاستی برای پذیرش ایمن هوش مصنوعی فراهم می‌کند.

نوآوری اخیر دیگری «نسخه‌های طلایی» است؛ جایی که Sonatype وابستگی‌های مستقیم و ترانزیسیو را تجزیه و تحلیل می‌کند و ارتقاءهایی را پیشنهاد می‌دهد که با بازگشت‌پذیری سازگار هستند، به‌طوری که توسعه‌دهندگان بتوانند بدون خطر خراب شدن ساخت یا معرفی ریسک ارتقاء دهند. با رشد حجمی از کد تولید شده توسط هوش مصنوعی، مجموعه داده‌های دقیق، اتوماسیون و یکپارچه‌سازی‌های گستردهٔ Sonatype (اتصالات) هدفشان کمک به سازمان‌ها برای به‌سودی‌سازی توسعه در حالی که امنیت و انطباق را حفظ می‌کند.

به وضوح، پلتفرم‌های امنیت برنامه و زنجیره تأمین به سرعت تحت تأثیر هوش مصنوعی در حال تحول هستند. از رفع خودکار و اولویت‌بندی مبتنی بر زمینه تا حاکمیت بر خود مدل‌های هوش مصنوعی، نکتهٔ مشترک واضح است: امنیت دیگر به‌صورت افزودنی در انتها نیست بلکه به‌طور فزاینده‌ای از همان ابتدا در داخل محصول تعبیه می‌شود. همان‌طور که شیوه‌های devops و devsecops بالغ می‌شوند، نقش هوش مصنوعی در توسعه نرم‌افزار گسترش می‌یابد. هوش مصنوعی تنها یک تسریع‌کننده نیست؛ بلکه به بنیان‌گذاری نحوهٔ ایمن‌سازی نرم‌افزارهای مدرن تبدیل می‌شود.