Tag: DevSecOps

L’IA identifie les vulnérabilités du code, mais qui gère le risque ?

Ori HLeave a comment
Diagramme montrant la supervision de la sécurité dans GitLab au sein d'un environnement de développement IA

L’identification des vulnérabilités assistée par l’IA évolue rapidement. Cependant, les défis plus complexes liés à l’application des règles, à la gouvernance et à la sécurité de la chaîne d’approvisionnement nécessitent une plateforme holistique comme GitLab.

Récemment, la société Anthropic a annoncé Claude Code Security. Il s’agit d’un système d’IA qui identifie les failles et suggère des correctifs. Le marché a réagi immédiatement. Les actions du secteur de la sécurité ont chuté, et les investisseurs se sont demandé si l’IA risquait de remplacer les outils AppSec et DevSecOps traditionnels.

La question qui préoccupe tout le monde est claire : Si l’IA peut écrire et sécuriser du code, le domaine de la sécurité des applications devient-il obsolète ? La réponse courte est non. Si la sécurité se limitait uniquement à l’analyse du code, cela pourrait être vrai. Mais la sécurité d’entreprise (Enterprise Security) ne s’est jamais résumée à la simple détection. L’identification des vulnérabilités par l’IA progresse certes très vite, mais les défis complexes de l’application des politiques, de la gouvernance et de la sécurisation de la chaîne d’approvisionnement exigent une plateforme globale comme GitLab.

Les vraies questions difficiles en sécurité applicative

Les organisations ne demandent plus si l’IA est capable de trouver des vulnérabilités. Elles posent trois questions bien plus difficiles :

  1. Ce que nous nous apprêtons à livrer est-il réellement sécurisé ?
  2. Notre posture de risque a-t-elle changé à mesure que les environnements et les dépendances évoluent ?
  3. Comment supervisons-nous le code composé par l’IA et les sources tierces, dont nous restons responsables ?

Ces questions nécessitent une solution au niveau de la plateforme. La détection signale le risque, mais la gouvernance détermine ce qui se passe ensuite. GitLab est la couche d’orchestration conçue pour superviser le cycle de vie du logiciel de bout en bout. Elle fournit aux équipes l’application des règles, la visibilité et la capacité d’audit nécessaires pour le développement assisté par l’IA.

Faire confiance à l’IA exige une supervision des risques

Les systèmes d’IA s’améliorent rapidement pour détecter les failles et proposer des correctifs. C’est une avancée significative, mais l’analyse ne remplace pas la responsabilité. Les systèmes d’IA ne peuvent pas appliquer d’eux-mêmes les politiques de l’entreprise. Ils ne peuvent pas non plus définir seuls ce qu’est un risque acceptable.

Ce sont les humains qui doivent définir les limites et les politiques à l’intérieur desquelles les agents opèrent. Il faut établir une séparation des tâches, garantir des pistes d’audit et maintenir des contrôles cohérents. La confiance envers les agents ne découle pas de leur autonomie, mais d’une supervision bien définie. Plus les organisations accordent d’autonomie à l’IA, plus la supervision doit être robuste. Cette supervision n’est pas un frein ou un obstacle ; c’est la fondation qui rend le développement assisté par l’IA fiable à grande échelle.

Les modèles d’IA voient le code – Les plateformes voient le contexte

Un grand modèle de langage (LLM) analyse le code de manière isolée. À l’inverse, une plateforme de sécurité applicative d’entreprise comprend le contexte. Cette différence est fondamentale, car les décisions relatives aux risques dépendent du contexte :

  1. Qui a écrit le changement ?
  2. À quel point l’application est-elle critique pour l’entreprise ?
  3. Comment interagit-elle avec l’infrastructure et les dépendances ?
  4. La vulnérabilité est-elle réellement accessible (reachable) en production ?
  5. Est-elle exploitable dans l’environnement de production ?

Les décisions de sécurité dépendent de ce contexte. Sans lui, la détection génère des alertes bruyantes et des faux positifs. Ces alertes ralentissent le développement. Avec le contexte, les organisations peuvent prioriser (triage) rapidement et gérer les risques efficacement.

Les analyses statiques ne suffisent plus

Le contexte évolue sans cesse à mesure que le logiciel change. Par conséquent, la supervision ne peut se limiter à une décision unique ou à une analyse statique. Les risques logiciels sont dynamiques. Les dépendances changent et les environnements évoluent de manière imprévisible pour une analyse isolée. Un scan “propre” à un instant T ne garantit pas la sécurité future (au moment de la mise en production et au-delà).

La sécurité d’entreprise dépend d’une assurance continue. Il faut intégrer des contrôles directement dans les flux de travail (workflows) de développement. Ces contrôles évaluent le risque pendant la construction, le test et le déploiement du logiciel. La détection fournit l’information, et la supervision continue permet aux organisations de publier leurs produits en toute sécurité.

Superviser l’avenir des agents autonomes (Agentic)

L’IA redéfinit la création de logiciels. La question n’est plus de savoir si nous utiliserons l’IA, mais avec quel niveau de sécurité nous pourrons étendre son utilisation. Les logiciels d’aujourd’hui sont composés de code généré par l’IA, de bibliothèques open source et de dépendances tierces.

Superviser ce qui est publié à partir de toutes ces sources est la partie la plus difficile de la sécurité applicative. Aucun outil destiné uniquement au développeur n’est conçu pour gérer cela. En tant que plateforme d’orchestration intelligente, GitLab a été spécifiquement bâtie pour résoudre ce problème. GitLab Ultimate intègre la supervision et l’application des politiques directement dans les workflows où le logiciel est créé. Ainsi, les équipes de sécurité peuvent superviser à la vitesse de l’IA.

L’IA va accélérer le développement de manière spectaculaire. Les organisations qui en tireront le meilleur parti ne seront pas seulement celles dotées des assistants les plus intelligents. Ce seront celles qui auront instauré la confiance grâce à une supervision robuste.

Pour savoir comment GitLab aide les organisations à superviser et à publier du code généré par l’IA en toute sécurité, contactez-nous.

Pour plus d’informations sur la solution GitLab pour la gestion de la sécurité du code et des applications,
Contactez-nous : gitlab@almtoolbox.com Ou par téléphone : +33 01 84 17 53 28 (France) or 866-503-1471 (USA & Canada)

Notre société a aidé des centaines de clients à passer à Git et GitLab (depuis 2015) ainsi qu’à choisir des outils d’aide au développement logiciel, de gestion de configuration, de CI/CD et de développement sécurisé, y compris avec l’assistance d’outils d’IA et dans des environnements hébergés sur site (Self-hosted).
Nous sommes également les représentants officiels de GitLab en Israël et opérons à l’international depuis 2016.
Pour plus de détails, contactez-nous : gitlab@almtoolbox.com

Cet article a été rédigé par ALM Toolbox, basé notamment sur un article écrit par Omar Azaria de GitLab, et a été adapté par nos soins pour le public francophone.

Liens pertinents :

Sécurité et conformité du code à l’aide de GitLab

Gitlab France AdminLeave a comment

gitlab-security

Peu de gens le savent, mais GitLab a également la possibilité d’effectuer une variété de contrôles de sécurité sur le code que vous développez et / ou utilisez (open source), ainsi que des capacités de conformité du code – c’est-à-dire de vous assurrez  de faire une utilisation correcte et légale de l’open source que vous utilisez.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code, puis tout voir à l’aide d’un tableau de bord central qui affiche tout de manière ordonnée, et vous permet également d’effectuer des actions sur les résultats et les constatations et de partager réellement les informations entre tous les projets. personnes (ou quiconque est autorisé à le consulter).

Les tests peuvent être exécutés à partir de GitLab CI (qui est l’outil CI / CD fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

En fait, les tests peuvent être exécutés même si le code est dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests ne concernent pas le code lui-même, mais l’application ou le site Web qui exécute le code.

Il peut être exécuté à la fois à partir d’un serveur GitLab privé (c’est-à-dire auto-hébergé) et à partir du cloud.

 Voici une courte liste de ces fonctionnalités:

Fonctionnalité / test

Description 
Container Scanning  Conteneurs vides (docker) pour les faiblesses connues
Dependency List Afficher une liste des dépendances de projet et des vulnérabilités connues
Dependency Scanning Analyse des dépendances concernant les faiblesses connues
Static Application Security Testing (SAST) Scan du  code (analyse statique) pour les vulnérabilités connues. C / C ++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS pris en charge et plus encore
Dynamic Application Security Testing (DAST) Check des Application Web et sites Web vides pour détecter les vulnérabilités connues
Secret Detection  Scan גו code et de l’historique (de git) pour trouver des secrets et les informations sensibles
API Fuzzing Decouverte des bugs  et des vulnérabilités inconnus dans l’API Web (c’est-à-dire l’API que vous fournissez à vos clients) à l’aide de la technologie FUZZING
Coverage Fuzzing Détection de bugs et de vulnérabilités qui ne sont parfois pas détectés dans la phase d’assurance qualité (comme une entrée inattendue et une entrée aléatoire). Support de  C / C ++, Go, Java, JS, Python et plus
Security Dashboard  Vue centrale de toutes les conclusions dans tous les projets et groupes
License Compliance Détectetion  des dépendances open source dans votre code et savoir si le code et les répertoires dont nous dépendons sont légalement utilisés (tels que GPL, BSD, Apache, MIT, etc.) comme   définis dans le projet  

Questions courantes:

  • Question: Est-il possible de le connecter à des systèmes CI non GitLab?
    Réponse: Oui – c’est généralement possible (en fonction de l’utilisation et de la situation – cela doit être testé)
  • Question: Est-il possible d’exécuter les tests même sur des réseaux déconnectés d’Internet?
    Réponse: Certains des tests peuvent être exécutés hors ligne. Nous proposons également une assistance et une licence d’outils supplémentaires (en plus de GitLab) spécialement conçus pour les réseaux privés.

ALMtoolbox est spécialisée dans le développement et le test pour   DevOps et pour l’amélioration des processus de travail comprenant outils de développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres., Nous offrons des services de Consultant et vente de licences d’outils.

ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

Contactez pour nous toute question, un devis ou même une license d’évaluation.

ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com