AIによるコード生成に潜むOSSスニペットの混入リスク、どう回避すべきか？

　AIコーディングアシスタントが開発現場で積極的に活用されるようになり、アプリケーション開発やサービス開発の生産性は大きく向上している。一方で、AIと連携したIDE（統合開発環境）のオートコンプリートや外部の生成AIの利用を通じて、自社開発コードベースに出どころ不明かつライセンス未確認のオープンソースソフトウェア（OSS）のスニペットが混入するリスクも顕在化してきた。

　このようなOSSスニペットが混入した状態で成果物をリリースした場合、ライセンス違反などの問題を招くおそれがある。さらに、脆弱性を含むOSSスニペットを利用することで、アプリケーションやサービス全体のセキュリティリスクが高まる可能性も否定できない。

　本資料では、生成AIを活用したコーディングが広がる中で、OSSのライセンス管理や脆弱性管理、SBOM（ソフトウェア部品表）管理を適切に行うことの重要性を整理した上で、OSSスニペット検出に対応したSCA（ソフトウェア構成分析）ツールの有効性を解説する。併せて、スニペット検出の精度や運用効率といった観点から、SCAツールを選定する際のポイントを紹介している。