AI技術を活用したコーディング支援ツールの普及が進む中、開発者はソースコードの品質と安全性を保つために何を実施すべきか。ソースコード品質管理ツールベンダーのCIOに話を聞いた。
ソフトウェア開発において、ソースコードの品質管理は喫緊の課題だ。AI(人工知能)技術を活用したコーディング支援ツールの台頭によって、コーディングにおける効率と安全性の確保はこれまで以上に重要になっている。
SonarSourceは、15年にわたりソースコードの品質向上に取り組んできた企業だ。同社は度重なるエラーに課題を感じた3人のエンジニアリングマネジャーによって設立され、自動でソースコードをレビューするツールを開発した。SonarSourceの最高情報責任者(CIO)であるアンドレア・マラゴディー氏は、金融サービス会社JP Morgan Chaseでの勤務経験があり、25年のキャリアを持つベテランのIT技術者だ。マラゴディー氏の経験と見解に基づき、開発者が“AI時代”に実施すべきソースコード品質管理とは何かを探る。
SonarSourceのツールは、独自の解析エンジンを備え、30種類のプログラミング言語と5500件以上の規約を網羅する品質基準を基に、セキュリティ、パフォーマンス、保守性の観点からソースコードを評価する。
開発者の作業環境との親和性にも優れ、統合開発環境(IDE)やプルリクエスト(ソースコードの変更内容のレビューを受けて統合すること)を通じたフィードバックを提供する。品質基準を満たさないソースコードの統合を防ぐ機能を備えており、高品質なソースコードの本番環境へのデプロイ(展開)を支援する。
マラゴディー氏は、「私たちは開発者の第2の目となる存在だ」と説明した上で、「問題が深刻になる前にバグやセキュリティ上の懸念点を発見することが重要だと話す。
SonarSourceのツールの特徴的な機能として、1000種類を超えるオープンソースライブラリに対して、静的アプリケーションセキュリティテスト(SAST)を実行できる点がある。これによって、開発者は外部ライブラリの使用に伴うセキュリティリスクを事前に把握できる。
技術面以外でも、SonarSourceは「良質なソースコード」という広い概念の実現に取り組んでいる。同社のツールは一貫した記述様式、明確なロジック、効率的な処理、応用力のあるソースコードを提唱しつつ、ユーザー企業ごとの基準に合わせた設定変更も可能だ。
ただし、ソースコードの品質の責任は最終的に開発者が担う。マラゴディー氏は、ソースコードの品質を重視する文化を開発チーム内で醸成することが不可欠だと説く。整理されていない低品質なコードベース(ソースコード群)は、開発者のモチベーション低下や離職につながる可能性があるという。
「GitHub Copilot」をはじめ、コーディングを支援するAIアシスタントは便利な一方、課題も存在する。その一つが、これらのツールは大量のオープンソースコードで訓練されており、不適切な構文やロジックを提案する場合があることだ。開発者はAIアシスタントが生成したソースコードを十分に確認しない場合もあり、新たなリスク要因になり得る。
「特に懸念されるのは、経験の浅い開発者がAIアシスタントの提案を無条件に受け入れてしまいがちだということだ」。とマラゴディー氏はそう指摘する。
マラゴディー氏は、採用可能なソースコードの基準を定めた「クオリティーゲート」の重要性を強調する。AIアシスタントが生成したソースコードも厳格なレビューを通す必要があり、「人による確認は不可欠だ」と話す。
こうした現状は、SonarSourceにとって事業機会になっているという。企業が扱うソースコードには人が作成したものとAIアシスタントが生成したものが混在するようになりつつある。「企業はAIアシスタントが生成したソースコードの品質管理の必要性を認識し始めており、当社の成長につながっている」とマラゴディー氏は説明する。
クラウド型のローコード/ノーコード開発ツールは、エンドユーザーの見えないところでソースコードを自動生成する。ベンダーは自動生成されたソースコードを全てユーザー企業に開示するとは限らない。この場合、ソースコードの透明性の確保は困難だ。規制の厳しい業界では、ソースコードの透明性の確保が重要なため、ローコード/ノーコード開発ツールを使うことのリスクを取り除けない可能性がある
「ローコード/ノーコード開発ツールは、導入した当初は効率的に感じられても、次第にリスクとコストが増加する傾向がある」とマラゴディー氏は指摘する。「ベンダーが管理する、透明性が不確かな非公開のソースコードを実行する」ことを規制当局が許容するとは考えにくく、「ユーザー企業自身がソースコードを管理できる開発環境が必要だ」と同氏は続ける。
マラゴディー氏は、「開発者中心のアプローチ」がSonarSourceの強みだと考えている。市場には、リスク管理部門の要求を開発者に直接押し付けるような製品も存在するという。だが、こうした製品は誤検出などの問題を引き起こし、開発者の負担になりやすい。
「当社の解析ツールは『広範なカバー』『高い検出精度』『優れたパフォーマンス』を目指している。開発者にとっては小さなこともストレスになり得るため、これらの要素がソースコード品質管理における重要な柱だと考える」(マラゴディー氏)
SonarSourceは事業をグローバル展開するに当たって、アジア市場の可能性に注目している。シンガポールに地域拠点を設立し、技術者、IT部門、営業チームを配置した。
マラゴディー氏によると、アジアでのSonarSourceに対する反応は良好で、行政機関や金融機関を中心に関心が高まっているという。「日本や韓国をはじめ、アジア地域の企業との協力関係が拡大している」
世界的に見ると、特に金融業界がSonarSourceのツールを積極的に導入している。ソフトウェア開発の速度が速く規制要件が厳しい金融業界では、ソースコードの品質とセキュリティの確保が特に重要なためだ。「アジアでも同様の傾向が見込まれる」とマラゴディー氏は予測する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Microsoft傘下の孤高のビジネスSNSはAIの時代にどこへ向かう?――2025年のSNS大予測(LinkedIn編)
ビジネス特化型のソーシャルプラットフォームとして独自の立ち位置を確立したLinkedIn。...
ソニーとディズニーが奇跡のコラボ NBAの試合に3Dアニメをリアルタイムで融合
ドナルドダック、グーフィー、その他の人気キャラがプロバスケットボールの試合の初のア...
ChatGPTだけじゃない! 生成AIの「検索量ランキング」、世界18カ国の傾向は?
ChatGPTの圧倒的な人気が際立つ一方で、GeminiやPerplexity、Copilotも注目を集めている...
ITmediaはアイティメディア株式会社の登録商標です。
