- Problèmes de sécurité
- Enquête menée par l’entreprise américaine de cybersécurité Snyk auprès de 537 membres et responsables d’équipes d’ingénierie logicielle et de sécurité
- 91,6 % des répondants : « Les outils de codage par IA ont parfois généré des propositions de code non sécurisées »
- 80 % des répondants : « Les développeurs de l’organisation contournent les politiques de sécurité liées à l’IA »
- 25 % des répondants : « Utilisent des outils de scan automatisés pour vérifier la sécurité des composants open source inclus dans les suggestions de code de l’IA »
- Peu de personnes prennent des mesures appropriées pour garantir la sécurité des bibliothèques open source
- Selon Snyk, Copilot de GitHub génère des snippets de code en apprenant des modèles et des structures à partir de dépôts de code existants
- Dans ce processus, le code peut reproduire des vulnérabilités de sécurité existantes ou de mauvaises pratiques présentes dans des fichiers adjacents
- Il est nécessaire d’identifier le code à risque via des contrôles de sécurité automatisés et des audits de code, et d’examiner la sûreté des outils d’IA de génération de code
- Problèmes de qualité du code
- Point souligné par Bernd Greifeneder, fondateur et CTO de l’entreprise américaine d’observabilité Dynatrace
- Jusqu’à présent, l’IA a été entraînée sur de bonnes sources sélectionnées par des humains, comme Stack Overflow
- À l’avenir, si les développeurs utilisent davantage de code généré par l’IA, la motivation à mettre à jour ces sites pourrait diminuer
- Le fait pour les développeurs de copier-coller des snippets de code afin d’accélérer le déploiement est considéré comme une mauvaise pratique
- Cela réduit la maintenabilité et augmente le risque que des erreurs ou des vulnérabilités soient reproduites ou passent inaperçues
- Les outils d’IA de génération de code automatisent à grande vitesse ce processus de copier-coller
- Les organisations doivent analyser minutieusement le code généré par l’IA, le tester et renforcer les pratiques de développement conformes aux standards de qualité et de sécurité
- Appliquer les principes du « clean code » au code généré par l’IA
- Il faut garantir la qualité du code en effectuant des tests et des analyses pour que les principes de clean code soient bien appliqués dans l’implémentation finale du code généré par l’IA
- Problèmes de droit d’auteur
- Des outils comme Copilot produisent du code en refactorisant le code d’entrée
- Ces outils peuvent être confrontés à des problèmes de droit d’auteur et de licence open source liés aux données d’entraînement utilisées pour entraîner le modèle d’IA et au code de sortie généré par le modèle entraîné
- Analyse du cabinet d’avocats international Finnegan :
- Les outils d’IA de génération de code peuvent recommander des copies du code utilisé pour entraîner le modèle d’IA sous-jacent
- GitHub reconnaît également que « le code généré par Copilot cite parfois du code open source public sur lequel il a été entraîné »
- Selon une enquête interne de GitHub, la probabilité est extrêmement faible, à 1 %, mais Copilot peut générer du code contenant certains blocs correspondant exactement au code d’entraînement
- Les licences du code open source peuvent aussi s’appliquer au code développé avec Copilot
- Si du code soumis à une licence open source est réutilisé de façon répétée dans du code créé avec des outils d’IA de génération de code, son utilisation peut constituer une violation du droit d’auteur si les conditions de la licence open source, comme l’attribution ou la distribution, ne sont pas respectées
- En raison du manque de traçabilité du code proposé par les outils d’IA de génération de code, il n’existe pas de moyen immédiat de savoir si « le code généré contient du code réutilisé susceptible de contrevenir aux conditions de la licence open source d’origine »
- Il est nécessaire de vérifier manuellement le code généré par l’IA afin d’identifier le code populaire connu
- Il faut utiliser des outils de scan de code pour contrôler la présence de code soumis à des licences open source
Aucun commentaire pour le moment.