> 文章作者:段小草
自这一波生成式 AI 浪潮以来,大家尝鲜之余最关心的问题还是如何提高生产力。我们在测试大语言模型能力的时候,往往会将代码能力作为一项重要的评价指标,也说明程序员还是希望能在 AI 的加持下更快捷安全地编写代码。
最近,亚马逊云就推出基于[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)的代码生成工具——CodeWhisperer,最重要的是对于个人用户完全免费使用。
![image.png](https://dev-media.amazoncloud.cn/eb9565b84c284851b7cb6af8d9fc0a8a_image.png "image.png")
经过一段时间的体验,我觉得 CodeWhisperer 可以处理编程工作中遇到的很多问题,并且帮助开发人员提高编程效率。最重要的是 CodeWhisperer 在代码安全扫描方面能力是很强的。接下来就带大家了解并体验一下 CodeWhisperer。
### 一、注册安装
CodeWhisperer 的安装比较简单,几分钟就能搞定。这里我以 VS Code 为例,其他 IDE 可以参考官方说明。
1、在 VS Code 的扩展商店中下载 Amazon Toolkit:
![image.png](https://dev-media.amazoncloud.cn/c0fd0b2f632f46df82d48917f71cc595_image.png "image.png")
2、安装完成后,可以在左边栏看到亚马逊云图标,点击并选择 CodeWhisperer,可以看到要求登录。选择第一个,Use a personal email to sign up and sign in with Amazon Builder ID:
![image.png](https://dev-media.amazoncloud.cn/d3ab4b12234e4fb3b14b3d7eb6c44ea0_image.png "image.png")
![image.png](https://dev-media.amazoncloud.cn/2be415ebd8e54dcaab6211b8a8d841c9_image.png "image.png")
3、复制设备 ID 并完成 Amazon Builder ID登录:
![image.png](https://dev-media.amazoncloud.cn/5696aaa1fc1c43e79050860f77718b25_image.png "image.png")
这里会自动生成一个八位字母的 request code,用于识别设备 IDE。不需要在意,点击「Copy Code and Proceed」打开亚马逊云科技网页即可。
粘贴刚才复制的 code:
![image.png](https://dev-media.amazoncloud.cn/c504f98893ee4a49bd81411675b7a65c_image.png "image.png")
使用自己的个人邮箱完成注册即可:
![image.png](https://dev-media.amazoncloud.cn/e4ea0098a389406a8ad4e7864d0c2d7b_image.png "image.png")
完成安装并登录后,可以在 VS Code 左下角看到 CodeWhisperer 状态:
![image.png](https://dev-media.amazoncloud.cn/a25a6d2fac3842df8d02ecd356028124_image.png "image.png")
### 二、AI 编程体验
CodeWhisperer 支持 Python、Java、JavaScript、TypeScript、C#、Rust、Go、Ruby、Scala、Kotlin、PHP、C、C++、Shell、SQL 的代码生成,可以说是十分全能了。我还是用最熟悉的 Python 来测试一下。
比如我们要获取一个 csv 文件中的第二行数据,只需要写出这样的注释:
![image.png](https://dev-media.amazoncloud.cn/831044c685ac443b978a9712cd36767b_image.png "image.png")
CodeWhisperer 会给出多种建议,可以使用左右键进行切换查看:
![image.png](https://dev-media.amazoncloud.cn/0828bf0d8c5e4e71ac6ba4e0a0427f67_image.png "image.png")
点击 Tab 后,会自动补全代码并导入用到的库:
![image.png](https://dev-media.amazoncloud.cn/70a891e307dc4a7e8461832998a5c84f_image.png "image.png")
再比如我希望把一段 CURL 转换为 Python requests 代码:
![image.png](https://dev-media.amazoncloud.cn/452bd52e6f4941e3af70d7c771bb3545_image.png "image.png")
它会给出一些提示用于挑选。如果对补全的内容满意,按 Tab 就可以使用。虽然后面是单行生成的,但也完成了目标。
![image.png](https://dev-media.amazoncloud.cn/6ce923cd5d9843a6b5dfcc90295111c7_image.png "image.png")
CodeWhisperer 也是支持中文的,我们可以直接用中文编写注释:
![image.png](https://dev-media.amazoncloud.cn/d12cba1f5bbc45acb012d3ad0684fdf8_image.png "image.png")
### 三、代码安全检测
CodeWhisperer 的介绍中专门强调了它的代码安全扫描功能。
![image.png](https://dev-media.amazoncloud.cn/2db886ee737546faa0b4a403bba540a7_image.png "image.png")
不过要注意:目前,仅在适用于 Python、Java 和 JavaScript 的 VS Code 和 JetBrains IDE 中支持代码安全扫描。
还是以 VS Code+Python 为例,在默认状态下,VS Code 仅仅是使用 pylance 插件对 Python 代码进行拼写检查和代码补全,也就是我们经常见到的黄色、红色波浪下划线标出的建议修改,比如自动扫描环境依赖以后给出的类似提示。
![image.png](https://dev-media.amazoncloud.cn/37a15fb53e4e462dbcb4e5e3c5002308_image.png "image.png")
但类似的工具并不能帮助我们挖掘更深层次的安全漏洞。接下来我们试试使用 CodeWhisperer 扫描这个文件。
![image.png](https://dev-media.amazoncloud.cn/232590bd320d48868e49200088b63976_image.png "image.png")
点击 Run Security Scan。稍等片刻。
![image.png](https://dev-media.amazoncloud.cn/5939415db9e442a59e7f52d741cef167_image.png "image.png")
可以看到,除了 pylance 发现的基础错误,CodeWhisperer 又找到了 4 处安全漏洞。
![image.png](https://dev-media.amazoncloud.cn/c17ae94899744024adc6a138b62badbb_image.png "image.png")
涉及到的代码分别是:
```
file.save(file_path)
conn = sqlite3.connect('data.sqlite')
app.run(debug=True)
```
这些问题都是涉及文件读写操作或者调试权限的,显然,如果这样的代码要用于生产环境,就需要更严格的条件限制。CodeWhisperer 也会给出相应的解释和建议。
![image.png](https://dev-media.amazoncloud.cn/d1cc66c4dd3d4862b1f99a7a984caab4_image.png "image.png")
总的来说,CodeWhisperer 在 AI 编程方面对我而言是够用的,而且可以说安全检查的功能是给我很大惊喜的,**安全检查的功能让 CodeWhisperer 从助手变成了导师**。
很多时候我们自己写的代码不够规范或者有一些初学者很难意识到的安全问题, CodeWhisperer 就像 montor 一样,会帮助我们做 Code Review,只要坚持能够把 CR 出的问题全部解决,我们自身的代码能力也会逐渐成长的,非常推荐大家都来体验一下。