Cisco Systems Inc. a introduit Projet CodeGuard, un framework open source conçu pour sécuriser les logiciels développés avec des agents de codage d’intelligence artificielle. Le système intègre des contrôles de sécurité tout au long du cycle de vie du logiciel pour renforcer le code dès sa création initiale. Le framework est conçu pour être unifié et indépendant du modèle, lui permettant de fonctionner avec divers outils d’IA. Il vise à fournir un code « sécurisé par défaut » en intégrant des garde-fous à plusieurs étapes de développement. Cisco a précisé que Projet CodeGuard n’est pas destiné à remplacer le jugement technique, mais sert de « couche supplémentaire de défense en profondeur ». Cette approche complète la surveillance humaine plutôt que de la supplanter, renforçant ainsi la sécurité tout au long du processus de codage assisté par l’IA. Lors de son lancement, CodeGuard comprend un ensemble de règles de base dérivées des directives établies du secteur, notamment l’Open Worldwide Application Security Project (OWASP) et le Common Weakness Enumeration (CWE). Cet ensemble initial cible les failles logicielles récurrentes. Les vulnérabilités spécifiques abordées incluent les secrets codés en dur, la validation des entrées manquantes ou inadéquates, l’utilisation de méthodes cryptographiques obsolètes et les dépendances sur des composants logiciels qui ont atteint leur fin de vie. Ces règles sont appliquées à des phases distinctes de développement pour assurer une application continue de la sécurité. Pendant la phase de planification et de spécification, ils orientent les agents d’IA vers des modèles de codage plus sûrs. Pendant la génération active du code, le framework peut bloquer la création d’extraits non sécurisés en temps réel. Après la génération, les règles sont utilisées pour un examen et une validation complets. Project CodeGuard fournit également un ensemble de règles communautaires, des traducteurs pour les agents de codage d’IA populaires et des validateurs pour aider les équipes à automatiser ces mesures de sécurité. Cisco a souligné que cette méthodologie en plusieurs étapes est essentielle car les assistants IA sont de plus en plus impliqués tout au long du cycle de vie des logiciels, depuis la rédaction des conceptions initiales et des services d’échafaudage jusqu’à la proposition de correctifs de code. Une règle unique, telle qu’une règle régissant la validation des entrées ou la gestion des secrets, est conçue pour influencer chaque étape. Cela implique de suggérer des alternatives plus sûres lors de la génération, de signaler les constructions à risque dès leur apparition et enfin de vérifier que le code terminé externalise correctement les secrets et nettoie toutes les entrées. Les représentants de l’entreprise ont déclaré que CodeGuard ne garantit pas une sortie parfaitement sécurisée et qu’un examen humain par des pairs et des contrôles de sécurité standard restent nécessaires. L’objectif principal de ce cadre est de réduire la probabilité que des vulnérabilités « faciles à résoudre » soient introduites dans les environnements de production à mesure que l’IA accélère les calendriers de livraison des logiciels. La feuille de route de l’entreprise pour le projet comprend une couverture linguistique plus large, des adaptateurs pour des plates-formes de codage d’IA supplémentaires, une validation automatisée des règles et des boucles de rétroaction pour affiner les règles en fonction de l’utilisation de la communauté. Pour soutenir cette évolution, Cisco invite les ingénieurs en sécurité, les développeurs et les chercheurs en IA à contribuer au projet. La société a demandé la soumission de nouvelles règles, la construction de traducteurs supplémentaires et des améliorations basées sur la télémétrie via son référentiel public.
