DevOps piloté par l’IA : révolutionner les pratiques d’ingénierie logicielle – Help Net Security
Dans cette interview Help Net Security, Itamar Friedman, PDG de Codium AI, discute de l’intégration de l’IA dans les pratiques DevOps et de son impact sur les processus de développement logiciel, en particulier pour automatiser la révision du code, garantir la conformité et améliorer l’efficacité.
Malgré les avantages, les défis liés à l’intégration de l’IA dans le développement de logiciels persistent, notamment les préoccupations concernant la confidentialité des données, les lacunes en matière de compétences et la cohérence des modèles, qui doivent être résolues par des politiques et un développement continu des compétences.
Comment l’IA est-elle intégrée dans les pratiques DevOps et quels sont les changements les plus significatifs que vous avez observés dans les processus de développement logiciel ?
Les outils d’IA sont désormais utilisés pour examiner automatiquement le code à la recherche de bogues, de vulnérabilités ou d’écarts par rapport aux normes de codage. Ce développement contribue à améliorer l’intégrité et la sécurité du code tout en réduisant le besoin d’intervention manuelle et en minimisant les erreurs humaines.
De plus, les systèmes d’IA peuvent désormais appliquer des exigences de conformité telles que les PR étant liés à un ticket spécifique dans le système de gestion de projet. Ils peuvent également s’assurer que les modifications sont automatiquement documentées dans le journal des modifications et dans la documentation des notes de version. Enfin, les outils d’IA peuvent automatiquement localiser, diagnostiquer et traduire en langage naturel, et répondre aux problèmes de construction CI/CD en temps réel, les résolvant souvent également sans intervention humaine.
Ces changements ont conduit à une efficacité et une rapidité accrues dans le codage en automatisant les tâches répétitives, ce qui à son tour réduit les cycles de développement, les coûts et accélère la mise sur le marché. Cela a également amélioré la qualité, la conformité et la fiabilité des logiciels grâce à des tests automatisés, de la documentation et des révisions de code, garantissant ainsi un code de meilleure qualité avec moins de bogues.
Quels sont les principaux défis rencontrés lors de l’intégration de l’IA dans le développement de logiciels et le DevOps, et comment les relever ?
L’intégration de l’IA dans le développement de logiciels et le DevOps pose encore des défis que nous devons surmonter.
La plupart des services d’IA sont des SaaS cloud, il existe donc de multiples risques dans le domaine de la confidentialité et de la sécurité des données. Outre les risques normaux de fuites et de violations de données, qui peuvent être atténués en garantissant que les fournisseurs respectent les normes appropriées telles que SOC 2, il existe plusieurs préoccupations spécifiques à l’IA générative. Un problème potentiel est que vos données exclusives peuvent être utilisées pour entraîner un modèle d’IA et, finalement, être divulguées par le modèle à l’avenir.
De même, si l’outil d’IA que vous utilisez a été formé sur les données exclusives d’une autre organisation, cette adresse IP peut être divulguée dans le code généré et se retrouver dans votre base de code. Des politiques claires concernant la conservation et l’utilisation des données dans la formation sont essentielles pour atténuer ces risques.
De plus, nous ne pouvons pas oublier que la technologie LLM est encore nouvelle et qu’il existe donc des écarts entre les compétences existantes et l’expertise requise. Les systèmes d’IA ne sont pas optimisés lorsqu’ils sont utilisés de manière ponctuelle ; ils nécessitent des itérations avec son opérateur humain pour tirer le meilleur parti de l’outil, et cela doit être transmis et reflété dans les processus organisationnels.
Enfin, les capacités des modèles doivent devenir plus cohérentes pour atténuer la responsabilité. Actuellement, les capacités du modèle ne conviennent pas aux systèmes qui nécessitent une erreur proche de zéro sans intervention humaine dans la boucle, ni aux systèmes dans lesquels vous devez être propriétaire des processus.
Sur quelles compétences les ingénieurs logiciels doivent-ils se concentrer pour travailler avec des outils et des environnements basés sur l’IA ?
Les ingénieurs logiciels doivent développer non seulement des compétences techniques, mais également une compréhension de la manière de communiquer efficacement avec les systèmes d’IA et d’intégrer ces interactions dans les flux de travail organisationnels. Voici les deux principales compétences nécessaires :
1. Apprentissage itératif et interaction avec l’IA : Comprendre que les outils et modèles d’IA nécessitent souvent des boucles de rétroaction itératives pour optimiser les performances. Les ingénieurs doivent être capables de travailler avec l’IA d’une manière qui implique des tests, des commentaires et des améliorations continus.
2. Ingénierie rapide améliorée : Il est essentiel de développer des compétences dans la création d’invites ou de requêtes efficaces pour les systèmes d’IA. Cela implique de comprendre comment structurer les informations et les demandes de manière à maximiser la compréhension et la qualité des résultats de l’IA.
Comment l’IA influence-t-elle les pratiques de codage sécurisé parmi les développeurs, et quelles sont les implications pour les normes de sécurité logicielle ?
L’atténuation des problèmes de sécurité dès le début du cycle de vie du développement logiciel conduit à des logiciels plus sécurisés. La détection automatisée des vulnérabilités, optimisée par l’IA, permet une analyse en temps réel du code pour détecter d’éventuels problèmes de sécurité, réduisant ainsi le recours à l’examen manuel du code, qui prend du temps pour les développeurs et est sujet aux erreurs humaines.
S’appuyer sur des solutions basées sur le cloud oblige l’organisation à planifier l’utilisation de ces outils en conformité avec ses propres directives de sécurité et de propriété intellectuelle afin de garantir une conformité totale. Certaines entreprises peuvent utiliser uniquement des modèles sur site, d’autres peuvent fixer un seuil sur la quantité de code pouvant être complété (pour éviter toute violation de la propriété intellectuelle), tandis que d’autres encore peuvent demander le SOC 2 et des politiques de rétention zéro. Les risques auxquels les entreprises sont confrontées lorsqu’elles utilisent des solutions d’IA SaaS basées sur le cloud nécessitent plus d’attention.
Avec l’accélération des cycles de développement logiciel grâce à l’IA, comment les organisations peuvent-elles garantir que la sécurité reste une priorité absolue sans compromettre la vitesse de développement ?
Les organisations doivent adopter plusieurs stratégies, notamment une surveillance continue de la sécurité, des contrôles de conformité automatisés et des opérations d’IA sécurisées.
Il sera essentiel d’utiliser des outils de surveillance de la sécurité basés sur l’IA qui analysent les vulnérabilités et les problèmes de conformité tout au long du processus de développement et de déploiement. Ces outils peuvent appliquer automatiquement les politiques et normes de sécurité, garantissant ainsi que les considérations de sécurité suivent le rythme des cycles de développement rapides. Cela doit être associé à un effort concerté pour garantir que les outils et modèles d’IA eux-mêmes sont sécurisés et conformes à la meilleure stratégie de déploiement pour l’organisation spécifique (sur site, dans le cloud, etc.) et tiendra les organisations informées de risques à mesure qu’ils surviennent.
Les organisations ne doivent pas abandonner les procédures de sécurité habituelles telles que : (a) former les équipes de développeurs sur les pratiques sécurisées et les risques potentiels associés aux outils d’IA et (b) maintenir des évaluations de sécurité et des tests d’intrusion réguliers qui sont cruciaux pour découvrir les vulnérabilités que l’IA ou les systèmes automatisés pourraient manquer.