Pour tirer parti des avantages de l'innovation en matière d'IA, il faut commencer par un code sécurisé
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
L'IA générative offre aux sociétés de services financiers de nombreux avantages, mais présente également de nombreux risques potentiels. Former les développeurs aux meilleures pratiques de sécurité et les associer à des modèles d'IA peut aider à créer un code sécurisé dès le départ.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Inhaltsverzeichnis
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
