Cisco rend son framework Project CodeGuard open source. Ce cadre de travail aide les équipes de développement à appliquer les règles de sécurité dans les flux de travail de codage IA, avant, pendant et après la génération de code.
Project CodeGuard est un framework de sécurité qui intègre des règles dans les processus de codage IA. Cisco l’a développé en interne pour limiter les risques tels que les secrets codés en dur, la validation d’entrée faible et l’utilisation de cryptographie obsolète. Les agents de codage IA accélèrent le développement de logiciels, mais génèrent souvent du code avec des vulnérabilités. Selon Cisco, une approche ouverte et uniforme est nécessaire pour améliorer la sécurité sans ralentir les développeurs.
Framework IA
Le framework se compose de trois composants principaux : un ensemble de règles de sécurité, des scripts qui traduisent ces règles en instructions pour les agents de codage IA populaires, et des outils de validation. Ces règles sont basées sur des directives courantes telles qu’OWASP et CWE. Elles peuvent être appliquées à chaque phase du processus de développement : pendant la phase de planification, lors de la génération de code et lors de la révision a posteriori.
Règles comme couche de sécurité
Un exemple est une règle de validation d’entrée. Elle peut diriger les agents IA vers des modèles de codage plus sûrs, alerter en cas de traitement d’entrée non sécurisé et vérifier si le code final contient une validation correcte. Une autre règle empêche l’utilisation de secrets codés en dur et assure l’application correcte de la gestion des secrets.
lire aussi
Que se passe-t-il lorsqu’un modèle d’IA n’a pas de sécurité ?
Selon Cisco, les règles doivent être considérées comme une couche de sécurité supplémentaire, non comme un remplacement des meilleures pratiques existantes telles que les révisions par les pairs. Les règles ne garantissent pas une sortie sécurisée, mais aident les agents IA à faire des choix plus sûrs par défaut.
Source ouverte
La première version (v1.0.0) de Project CodeGuard contient des règles de base, des scripts de traduction pour notamment GitHub Copilot et Windsurf, et de la documentation. Cisco souhaite étendre la couverture des règles à l’avenir vers plus de langages de programmation et de plateformes IA. De plus, des fonctionnalités telles que des suggestions de règles intelligentes basées sur le contexte du projet seront ajoutées.
lire aussi
Écrire ou contrôler du code ? « Restez expert dans ce que vous demandez à l’IA de faire »
Cisco invite la communauté de développement à contribuer via GitHub. Les développeurs peuvent proposer de nouvelles règles, intégrer des outils ou donner leur avis.