Standardy bezpieczeństwa i zgodność
Twój zespół ds. zgodności właśnie wysłał kwartalną listę kontrolną audytu. Czterdzieści siedem pozycji obejmujących OWASP Top 10, kontrole SOC 2, obsługę danych GDPR i wymagania PCI DSS dla modułu płatności. W zeszłym kwartale twojemu zespołowi zajęło to trzy tygodnie ręcznego przeglądu. W tym kwartale masz narzędzia AI — ale twój zespół bezpieczeństwa chce wiedzieć, do jakich dokładnie danych te narzędzia mają dostęp i czy kod generowany przez AI spełnia standardy zgodności.
Co wyniesiesz z tego rozdziału
Dział zatytułowany „Co wyniesiesz z tego rozdziału”- Konfiguracja narzędzi AI stawiająca bezpieczeństwo na pierwszym miejscu, satysfakcjonująca zespoły bezpieczeństwa enterprise
- Zautomatyzowane przepływy sprawdzania zgodności z wykorzystaniem przeglądu kodu wspomaganego AI
- Ramy zarządzania danymi dla korzystania z narzędzi AI w regulowanych środowiskach
- Wzorce promptów do generowania kodu zorientowanego na bezpieczeństwo i skanowania podatności
- Implementacja ścieżki audytowej dowodząca, że kod generowany przez AI spełnia standardy
Konfiguracja narzędzi AI pod kątem bezpieczeństwa
Dział zatytułowany „Konfiguracja narzędzi AI pod kątem bezpieczeństwa”Polityki obsługi danych
Dział zatytułowany „Polityki obsługi danych”Zanim napiszesz choć jeden prompt, ustal jakie dane mogą i jakie nie mogą być wysyłane do dostawców AI.
Cursor Business oferuje Privacy Mode, który zapewnia, że żaden kod nie jest przechowywany ani wykorzystywany do treningu:
SECURITY REQUIREMENTS:- Privacy Mode MUST be enabled (Settings → Privacy → Privacy Mode ON)- Never paste production credentials, API keys, or secrets into prompts- Never paste customer PII (names, emails, SSNs) into prompts- When discussing database schemas with PII columns, use anonymized names- Reference .env.example for environment variable names, never .envCursor Business zapewnia zgodność SOC 2 Type II i gwarancje zerowej retencji danych.
Claude Code respektuje pliki .claudeignore, aby zapobiec odczytywaniu wrażliwych plików:
.env.env.***/secrets/**/credentials/**/*.pem**/*.key**/config/production.jsonDodatkowo skonfiguruj hooki blokujące wrażliwe dane przed opuszczeniem środowiska:
{ "hooks": { "PreToolUse": [{ "matcher": ".*", "command": "python scripts/check-sensitive-data.py \"$PROMPT\"" }] }}Plany Claude Max i API domyślnie zapewniają zerową retencję danych dla użycia biznesowego.
Zadania chmurowe Codex działają w izolowanych środowiskach z ograniczeniami sieciowymi:
SECURITY POLICY:- Never read or output contents of .env files- Never include actual API keys, tokens, or passwords in code or comments- Use environment variable references for all sensitive configuration- Flag any hardcoded credentials found during code reviewPlany enterprise Codex zapewniają gwarancje izolacji danych i mogą być konfigurowane z niestandardowymi politykami sieciowymi.
Zautomatyzowane skanowanie bezpieczeństwa
Dział zatytułowany „Zautomatyzowane skanowanie bezpieczeństwa”Przegląd OWASP Top 10
Dział zatytułowany „Przegląd OWASP Top 10”Ciągły przegląd bezpieczeństwa w CI
Dział zatytułowany „Ciągły przegląd bezpieczeństwa w CI”Użyj Background Agent w Cursor do uruchamiania przeglądów bezpieczeństwa na każdym PR:
Review the changes in this PR for security issues:1. Check for any new SQL queries - are they parameterized?2. Check for any new API endpoints - do they have authentication middleware?3. Check for any new file uploads - are they validated for type and size?4. Check for any new user inputs - are they sanitized before rendering?5. Check for any new dependencies - do they have known vulnerabilities?
Output a security review checklist with pass/fail for each item.Zintegruj przegląd bezpieczeństwa w swoim pipeline CI za pomocą trybu headless:
security-review: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: AI Security Review run: | claude -p "Review the git diff for security issues: $(git diff origin/main...HEAD)
Check for: 1. SQL injection vulnerabilities 2. Missing authentication/authorization 3. Hardcoded secrets or credentials 4. Unvalidated user input 5. Insecure cryptographic operations 6. Missing rate limiting on new endpoints
Output as JSON: {issues: [{severity, file, line, description, fix}]} Exit code 1 if any Critical or High severity issues found."Codex może być uruchamiany przez zdarzenia GitHub PR do automatycznego przeglądu bezpieczeństwa:
When a PR is opened, perform a security review:1. Analyze all changed files for OWASP Top 10 vulnerabilities2. Check new dependencies against known vulnerability databases3. Verify authentication is required on all new endpoints4. Confirm input validation exists for all new user-facing parameters5. Post findings as a PR review comment with inline annotationsImplementacja ram zgodności
Dział zatytułowany „Implementacja ram zgodności”Kontrole SOC 2 z pomocą AI
Dział zatytułowany „Kontrole SOC 2 z pomocą AI”Obsługa danych GDPR
Dział zatytułowany „Obsługa danych GDPR”Wzorce bezpiecznego generowania kodu
Dział zatytułowany „Wzorce bezpiecznego generowania kodu”Nauczanie AI twoich standardów bezpieczeństwa
Dział zatytułowany „Nauczanie AI twoich standardów bezpieczeństwa”Zakoduj swoje wymagania bezpieczeństwa, aby kod generowany przez AI był domyślnie bezpieczny.
// .cursor/rules or CLAUDE.md - Security sectionSECURITY CODING STANDARDS:
Authentication:- All API endpoints must use the authMiddleware from /src/middleware/auth.ts- JWT tokens expire after 15 minutes, refresh tokens after 7 days- Password hashing uses bcrypt with cost factor 12
Input Validation:- All request bodies validated with Zod schemas before processing- File uploads limited to 10MB, allowed types: jpg, png, pdf- URL parameters must be validated as UUIDs where applicable
Database:- ALL queries must use parameterized statements (Drizzle ORM or prepared statements)- Never construct SQL strings with string concatenation- Database connections use least-privilege service accounts
Output:- All HTML output must be escaped (handled by React/template engine)- API responses must not include internal error details in production- Set Content-Security-Policy, X-Frame-Options, X-Content-Type-Options headersKiedy coś się psuje
Dział zatytułowany „Kiedy coś się psuje”“Nasz zespół bezpieczeństwa nie zatwierdi narzędzi AI, bo wysyłają kod na zewnętrzne serwery.” Przynieś na spotkanie raport SOC 2 dostawcy, umowę o przetwarzaniu danych i politykę zerowej retencji. Większość planów enterprise narzędzi AI zapewnia gwarancje umowne. Claude Code może też działać z lokalnymi modelami, jeśli wymagana jest absolutna izolacja danych.
“Kod generowany przez AI przeszedł przegląd, ale miał podatność.” Narzędzia AI zmniejszają, ale nie eliminują ryzyk bezpieczeństwa. Utrzymuj automatyczne skanowanie (SAST, DAST, audytowanie zależności) w CI niezależnie od tego, czy kod został wygenerowany przez AI czy napisany przez człowieka. Przegląd bezpieczeństwa to strategia obrony w głąb.
“Audyty zgodności zajmują tyle samo czasu nawet z AI.” Prawdopodobnie przeprowadzasz audyty reaktywnie. Skonfiguruj ciągłe monitorowanie zgodności z kontrolami CI opartymi na AI. Kwartalny audyt staje się formalnością, gdy każdy PR jest już przeglądany pod kątem kontroli zgodności.
“Różne zespoły kodują wymagania bezpieczeństwa w różny sposób.” Scentralizuj swoje standardy bezpieczeństwa we współdzielonym pliku reguł i dystrybuuj go do wszystkich repozytoriów. Użyj monorepo lub submodułu Git do współdzielonych konfiguracji.