Aller au contenu

Intégration de fournisseurs d'IA pour la remédiation assistée

L'intégration d'IA de BoostSecurity améliore votre processus de sécurité en fournissant une remédiation assistée par IA des vulnérabilités directement au sein de vos pull requests. En connectant un fournisseur d'IA, vous pouvez exploiter de puissants modèles de langage pour générer des suggestions de code et des commentaires, aidant vos développeurs à corriger les problèmes de sécurité plus rapidement et plus efficacement.

Ce guide vous accompagnera dans le processus de connexion et de configuration d'un fournisseur d'IA, tel que OpenAI, Gemini ou Anthropic, au sein de la plateforme BoostSecurity.

Principaux avantages

  • Suggestions de code automatisées : Recevez des extraits de code générés par l'IA pour corriger les vulnérabilités détectées.
  • Intégration transparente avec le SCM : Visualisez les suggestions et les commentaires directement dans vos pull requests existantes sur GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
  • Support flexible des fournisseurs : Choisissez parmi une gamme de fournisseurs et de modèles d'IA leaders pour répondre aux besoins de votre organisation.
  • Meilleure expérience développeur : Permettez aux développeurs de résoudre les problèmes de sécurité sans affecter leurs façons de faire.

Prérequis

Avant de commencer, assurez-vous d'avoir les éléments suivants :

  • Compte fournisseur d'IA : Un compte actif chez un fournisseur d'IA (par ex., OpenAI, Google AI, Anthropic) et une clé API valide.
  • Modèle d'IA compatible : Le modèle d'IA sélectionné doit prendre en charge l'analyse et la génération de texte pour la revue de code. Les modèles conçus pour le chat, le code ou le texte sont recommandés (par ex., gpt-4, claude-sonnet, gemini-pro). L'utilisation de modèles spécialisés dans le traitement d'images ou d'audio peut entraîner des erreurs ou des résultats vides.

Étapes d'intégration

Suivez ces étapes pour configurer l'intégration d'IA :

  1. Accédez à la page Intégrations sur votre tableau de bord BoostSecurity.

  2. Dans la section "Available", repérez la carte d'intégration AI et sélectionnez-la.

    Carte d'intégration IA

  3. Cliquez sur le bouton "Installer" en haut à droite pour ajouter un fournisseur d'IA.

    Installer une nouvelle config IA

  4. Sélectionnez un fournisseur : Dans le menu déroulant Provider, choisissez le fournisseur d'IA que vous souhaitez connecter (par ex., OpenAI, Gemini, Anthropic).

    Sélectionner le fournisseur

  5. Collez votre clé API fournie par le fournisseur dans le champ API Key et cliquez sur le bouton Get Available Models. BoostSecurity utilisera la clé API fournie pour interroger le fournisseur et remplir la liste des modèles disponibles.

    Saisir la clé API

    Important

    Lors de l'activation de l'IA dans votre application, veillez à choisir un modèle conçu pour la compréhension et la génération de texte. Les modèles spécialisés dans l'image, l'audio ou la parole ne peuvent pas effectuer de revue de code ni générer des commentaires textuels. Nous recommandons de sélectionner un modèle orienté chat ou code (par exemple, des modèles étiquetés "chat", "code" ou "text"). L'utilisation d'un modèle non pris en charge peut entraîner l'échec de la revue IA ou le retour de résultats vides.

  6. Sélectionnez un modèle : Dans le menu déroulant Model, choisissez le modèle d'IA spécifique que vous souhaitez utiliser pour générer les suggestions de code.

    Sélectionner un modèle

  7. Installer l'intégration : Une fois tous les champs requis remplis, cliquez sur le bouton "Installer" pour enregistrer la configuration.

Votre fournisseur d'IA est maintenant connecté. BoostSecurity commencera à utiliser cette intégration pour fournir des suggestions de remédiation automatisées dans vos outils SCM.

Important

Vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Gestion des intégrations existantes

Vous pouvez gérer vos fournisseurs d'IA configurés à tout moment depuis Integrations > AI.

  • Modifier : Pour changer le modèle sélectionné ou mettre à jour la clé API, cliquez sur l'icône de crayon à côté du fournisseur.

    Modifier l'intégration IA

  • Supprimer : Pour supprimer une intégration, cliquez sur l'icône de corbeille.

    Supprimer l'intégration IA

Dépannage

Erreur / Problème Cause possible Solution
"Get Available Models" échoue ou renvoie vide La clé API est invalide, a été révoquée ou n'a pas les autorisations nécessaires pour lister les modèles. Vérifiez que la clé API est correcte et qu'elle dispose des autorisations appropriées dans les paramètres du compte du fournisseur d'IA. Générez une nouvelle clé si nécessaire et mettez-la à jour dans les paramètres d'intégration.
Les suggestions IA n'apparaissent pas dans les pull requests Le modèle configuré n'est pas adapté à la revue de code, ou il y a un problème de configuration avec votre intégration SCM. 1. Assurez-vous d'avoir sélectionné un modèle basé sur du texte ou orienté code comme recommandé.
2. Vérifiez que votre intégration SCM (par ex., GitHub, GitLab) est correctement configurée et active.
3. Consultez les journaux de scan BoostSecurity pour détecter d'éventuelles erreurs.
Suggestions de mauvaise qualité ou non pertinentes Le modèle sélectionné peut ne pas être suffisamment puissant ou adapté au langage de programmation ou au type de vulnérabilité. Essayez différents modèles proposés par votre fournisseur. Les modèles plus avancés (par ex., GPT-4 plutôt que GPT-3.5) fournissent souvent des suggestions de meilleure qualité.

Foire aux questions (FAQ)

Q1 : Puis-je connecter plusieurs fournisseurs d'IA en même temps ?

Non, vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Q2 : Comment ma clé API est-elle stockée ?

Les clés API sont chiffrées et stockées de manière sécurisée. BoostSecurity suit les meilleures pratiques de l'industrie pour la gestion des identifiants sensibles.

Q3 : Quelles plateformes SCM sont prises en charge pour la remédiation assistée par IA ?

> La fonctionnalité de remédiation assistée par IA est disponible pour GitHub à l'heure actuelle, avec la prise en charge de GitLab, Bitbucket et ADO en cours d'implémentation.

L'intégration de l'IA de BoostSecurity améliore votre flux de travail de sécurité en fournissant une remediation assistée par l'IA pour les vulnérabilités directement dans vos Pull Requests. En connectant un fournisseur d'IA, vous pouvez tirer parti de modèles de langage puissants pour générer des suggestions de code et des commentaires, aidant ainsi vos développeurs à résoudre les problèmes de sécurité plus rapidement et plus efficacement.

Ce guide vous expliquera le processus de connexion et de configuration d'un fournisseur d'IA, tel que OpenAI, Bedrock, Gemini, ou Anthropic, au sein de la plateforme BoostSecurity.

Avantages clés

  • Suggestions de Code Automatisées : Recevez des extraits de code générés par l'IA pour corriger les vulnérabilités détectées.
  • Intégration SCM Transparent : Consultez les suggestions et commentaires directement dans vos demandes de tirage existantes sur GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
  • Support des Fournisseurs Flexible : Choisissez parmi une gamme de fournisseurs et de modèles d'IA de premier plan pour répondre aux besoins de votre organisation.
  • Expérience Développeur Améliorée : Permettez aux développeurs de résoudre les problèmes de sécurité sans quitter leur flux de travail.
  • Corrections Sensibles au Contexte : L'IA consomme les directives du dépôt (par ex., cloud.md, gemini.md) pour faire respecter les conventions spécifiques au projet.
  • Flux de Travail de Remédiation Plus Sûrs : Les secrets sont masqués avant que tout code ne soit envoyé au fournisseur d'IA.

Prérequis

Avant de commencer, assurez-vous d'avoir les éléments suivants :

  • Compte de fournisseur d'IA : Un compte actif auprès d'un fournisseur d'IA (par exemple, OpenAI, Bedrock, Google AI, Anthropic) et une clé API valide.
  • Modèle d'IA compatible : Le modèle d'IA sélectionné doit prendre en charge l'analyse et la génération de texte pour la révision de code. Les modèles conçus pour le chat, le code ou le texte sont recommandés (par exemple, gpt-4, claude-sonnet, gemini-pro). L'utilisation de modèles spécialisés dans le traitement d'images ou d'audio peut entraîner des erreurs ou des résultats vides.

Étapes d'intégration

Suivez ces étapes pour configurer l'intégration de l'IA :

  1. Accédez à la page d'intégrations sur votre tableau de bord BoostSecurity.

  2. Dans la section "Disponible", localisez la carte d'intégration IA et sélectionnez-la.

    Carte d'intégration IA

  3. Cliquez sur le bouton "Installer" en haut à droite pour ajouter un fournisseur d'IA.

    Installer nouvelle configuration IA

  4. Sélectionnez un fournisseur : Dans le menu déroulant Fournisseur, choisissez le fournisseur d'IA que vous souhaitez connecter (par exemple, OpenAI, Bedrock, Gemini, Anthropic).

    Sélectionner un fournisseur

  5. Collez votre clé API du fournisseur sélectionné dans le champ Clé API et cliquez sur le bouton Obtenir les modèles disponibles. BoostSecurity utilisera la clé API fournie pour interroger le fournisseur et remplir la liste des modèles disponibles.

    Saisir la clé API

    Important

    Lors de l'activation de l'IA dans votre application, assurez-vous de choisir un modèle conçu pour la compréhension et la génération de texte. Les modèles spécialisés dans le traitement d'images, d'audio ou de parole ne peuvent pas effectuer de révisions de code ni générer de commentaires en texte. Nous recommandons de sélectionner un modèle orienté chat ou code (par exemple, des modèles étiquetés "chat", "code" ou "texte"). Utiliser un modèle non pris en charge peut entraîner un échec de la révision de l'IA ou des résultats vides.

  6. Sélectionnez un modèle : Dans le menu déroulant Modèle, sélectionnez le modèle d'IA spécifique que vous souhaitez utiliser pour générer des suggestions de code.

    Sélectionner un modèle

  7. Installer l'intégration : Une fois que vous avez rempli tous les champs requis, cliquez sur le bouton "Installer" pour enregistrer la configuration.

Votre fournisseur d'IA est maintenant connecté. BoostSecurity commencera à utiliser cette intégration pour fournir des suggestions d'atténuation automatisées dans vos outils SCM.

Important

Vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Fonctionnalités IA supplémentaires

Filtrage des Secrets (Basé sur GitLeaks)

BoostSecurity applique automatiquement un scannage local GitLeaks pour détecter et masquer les secrets avant d'envoyer du code au fournisseur d'IA.

  • Les valeurs sensibles sont remplacées par ******.
  • Garantit que les identifiants ne quittent jamais votre environnement.
  • Réduit le risque de fuite de secrets vers des LLM tiers.

Consommation du Contexte du Référentiel

Les modèles d'IA peuvent désormais lire les fichiers de directives spécifiques à un projet, tels que :

  • cloud.md
  • gemini.md
  • d'autres documents de directives architecturales ou de codage de niveau racine

Cela permet à BoostSecurity de produire des correctifs adaptés au contexte, tels que :

  • imposer SQLAlchemy plutôt que SQL brut,
  • appliquer des modèles sécurisés spécifiques à l'organisation,
  • suivre les conventions d'ingénierie internes.

Détection des faux positifs propulsée par l'IA

L'IA peut identifier des résultats qui semblent être des faux positifs en fonction du contexte du code et recommander :

  • de marquer le résultat comme "sans boost" (suppression),
  • d'ajouter une justification à la Pull Request.

Cela réduit le bruit et améliore la confiance des développeurs dans le pipeline de scan.

Gestion des intégrations existantes

Vous pouvez gérer vos fournisseurs d'IA configurés à tout moment depuis la page Intégrations > IA.

  • Modifier : Pour changer le modèle sélectionné ou mettre à jour la clé API, cliquez sur l'icône de crayon à côté du fournisseur.

    Modifier l'intégration IA

  • Supprimer : Pour retirer une intégration, cliquez sur l'icône de poubelle.

    Supprimer l'intégration IA

Dépannage

Erreur / Problème Cause Possible Solution
Échec de "Obtenir les Modèles Disponibles" ou Retour Vide Clé API invalide ou permissions manquantes. Vérifiez la clé, régénérez-la si nécessaire, et mettez à jour votre configuration.
Suggestions IA Non Disponibles dans les Pull Requests Modèle non pris en charge ou mauvaise configuration SCM. Assurez-vous qu'un modèle capable de code est sélectionné, vérifiez l'intégration SCM, et examinez les journaux de scan.
Suggestions de Mauvaise Qualité ou Non Pertinentes Modèle trop faible ou manque de contexte. Essayez un modèle plus avancé et assurez-vous que les fichiers de directives (par ex., cloud.md) sont présents pour la consommation de contexte.
Des Secrets apparaissent dans les aperçu de suggestions Le dépôt contient des modèles non reconnus comme secrets par défaut. Confirmez que le masquage est activé et mettez à jour les modèles de secrets de votre dépôt si nécessaire.
---

Questions Fréquemment Posées (FAQ)

Q1 : Puis-je connecter plusieurs fournisseurs d'IA en même temps ?

Non, vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Q2 : Comment ma clé API est-elle stockée ?

Les clés API sont cryptées et stockées en toute sécurité selon les meilleures pratiques de l'industrie.

Q3 : Quelles plateformes SCM supportent la remédiation assistée par l'IA ?

BoostSecurity prend en charge la remédiation assistée par l'IA dans les Pull Requests pour GitHub, GitLab, Bitbucket et ADO.

Q4 : L'IA prend-elle en compte les directives de codage de mon dépôt ?

Oui. Si des directives comme cloud.md ou gemini.md sont présentes, l'IA les utilise pour produire des correctifs conformes au style et aux politiques.