Главное требование касается ответственности за результат. Разработчик обязан проверить сгенерированные материалы, разобраться в сути изменений и доработать код вручную. Непроверенный код от ИИ можно отправлять только там, где проект прямо разрешил такой формат участия, пишет Securitylab.
Отдельный блок рекомендаций связан с прозрачностью. SFC предлагает указывать в примечаниях к коммитам факт использования ИИ, название системы, версию модели и степень её участия. Также организация советует сохранять промпты и описание работы с моделью наравне с исходным кодом, чтобы происхождение изменений можно было понять позже.
Юридическая часть остаётся самой неопределённой. SFC предупреждает, что право ещё не выработало устойчивую практику по авторству и лицензированию ИИ-кода. Организация не советует считать безопасным переписывание кода через ИИ ради смены копилефтной лицензии на пермиссивную. Если модель дорабатывает существующую кодовую базу под копилефтной лицензией, результат, по мнению SFC, должен распространяться на тех же условиях.
В качестве наиболее безопасного подхода SFC рекомендует использовать копилефтные лицензии для нового кода, созданного с участием ИИ. Разработчикам также советуют применять такие системы осознанно, не перекладывать на них понимание кода и учитывать расход вычислительных ресурсов при лишних запросах.
Андрей Козлов, руководитель отдела тестирования GitFlic (входит в «Группу Астра») говорит, что нельзя не заметить растущее влияние искусственного интеллекта на разработку проектов.
«Всё больше компаний и специалистов используют ИИ-инструменты, которые помогают командам, беря на себя рутинные задачи, первичную обработку информации и сбор аналитики. Поэтому стремление установить понятные правила применения таких инструментов, обеспечить прозрачность их использования и сохранить возможность проверки происхождения изменений выглядит вполне обоснованным.
Вместе с тем ответственность за конечный результат должна оставаться за человеком, который предлагает изменения в проекте. Независимо от того, был ли код написан самостоятельно или с помощью ИИ, разработчик обязан понимать его содержание, проверить корректность, безопасность и соответствие требованиям проекта. Ссылка на использование нейросети не может освобождать автора изменений от профессиональной и юридической ответственности.
Также необходимо учитывать, что рекомендации Software Freedom Conservancy исходят от зарубежной некоммерческой организации и сами по себе не являются обязательными нормами для российских разработчиков и компаний. При внедрении подобных подходов в России следует в первую очередь руководствоваться применимыми нормами российского законодательства, локальными нормативными документами, лицензионными условиями и внутренними правилами конкретного проекта или организации», — говорит эксперт Андрей Козлов.
