Aller au contenu

Intégration des fournisseurs d'IA pour une remédiation assistée

L'intégration IA de Boost Security améliore votre flux de travail de sécurité en fournissant une remédiation assistée par IA pour les vulnérabilités directement au sein de vos pull requests. En connectant un fournisseur d'IA, vous pouvez tirer parti de puissants modèles linguistiques pour générer des suggestions de code et des commentaires, aidant ainsi vos développeurs à corriger les problèmes de sécurité plus rapidement et plus efficacement.

Ce guide vous présentera le processus de connexion et de configuration d'un fournisseur d'IA, tel que OpenAI, Bedrock, Gemini ou Anthropic, au sein de la plateforme Boost Security.

Avantages clés

  • Suggestions de code automatisées : Recevez des extraits de code générés par l'IA pour corriger les vulnérabilités détectées.
  • Intégration SCM fluide : Consultez les suggestions et commentaires directement dans vos pull requests existantes sur GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
  • Support flexible des fournisseurs : Choisissez parmi une gamme de fournisseurs d'IA et de modèles de premier plan pour répondre aux besoins de votre organisation.
  • Amélioration de l'expérience développeur : Permettez aux développeurs de résoudre les problèmes de sécurité sans quitter leur flux de travail.
  • Corrections contextuelles : L'IA consomme les directives du dépôt (par exemple, cloud.md, gemini.md) pour appliquer les conventions spécifiques au projet.
  • Flux de travail de remédiation plus sûrs : Les secrets sont masqués avant que tout code ne soit envoyé au fournisseur d'IA.

Prérequis

Avant de commencer, assurez-vous d'avoir les éléments suivants :

  • Compte de fournisseur d'IA : Un compte actif avec un fournisseur d'IA (par exemple, OpenAI, Bedrock, Google AI, Anthropic) et une clé API valide.
  • Modèle d'IA compatible : Le modèle d'IA sélectionné doit prendre en charge l'analyse et la génération basées sur du texte pour la révision de code. Les modèles conçus pour le chat, le code ou le texte sont recommandés (par exemple, gpt-4, claude-sonnet, gemini-pro). L'utilisation de modèles spécialisés dans le traitement d'image ou d'audio peut entraîner des erreurs ou des résultats vides.

Étapes d'intégration

Suivez ces étapes pour configurer l'intégration IA :

  1. Accédez à la page des intégrations sur votre tableau de bord Boost Security.

  2. Dans la section "Disponible", localisez la carte d'intégration IA et sélectionnez-la.

    Carte d'intégration IA

  3. Cliquez sur le bouton "Installer" en haut à droite pour ajouter un fournisseur d'IA.

    Installer nouvelle config IA

  4. Sélectionner un fournisseur : Dans le menu déroulant Fournisseur, choisissez le fournisseur d'IA que vous souhaitez connecter (par exemple, OpenAI, Bedrock, Gemini, Anthropic).

    Sélectionner fournisseur

  5. Collez votre clé API du fournisseur sélectionné dans le champ Clé API et cliquez sur le bouton Obtenir les modèles disponibles. Boost Security utilisera la clé API fournie pour interroger le fournisseur et remplir la liste des modèles disponibles.

    Saisir la clé API

    Important

    Lors de l'activation de l'IA dans votre application, assurez-vous de choisir un modèle conçu pour la compréhension et la génération de texte. Les modèles spécialisés dans le traitement d'image, d'audio ou de parole ne peuvent pas effectuer de révision de code ou générer de commentaires textuels. Nous recommandons de sélectionner un modèle orienté chat ou code (par exemple, des modèles étiquetés "chat", "code" ou "texte"). L'utilisation d'un modèle non pris en charge peut entraîner un échec de la révision IA ou des résultats vides.

  6. Sélectionner un modèle : Dans le menu déroulant Modèle, sélectionnez le modèle d'IA spécifique que vous souhaitez utiliser pour générer des suggestions de code.

    Sélectionner un modèle

  7. Installer l'intégration : Une fois tous les champs requis remplis, cliquez sur le bouton "Installer" pour enregistrer la configuration.

Votre fournisseur d'IA est maintenant connecté. Boost Security commencera à utiliser cette intégration pour fournir des suggestions de remédiation automatisées dans vos outils SCM.

Important

Vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Fonctionnalités IA supplémentaires

Filtrage des secrets (basé sur GitLeaks)

Boost Security applique automatiquement une analyse locale de GitLeaks pour détecter et masquer les secrets avant d'envoyer tout code au fournisseur d'IA.

  • Les valeurs sensibles sont remplacées par ******.
  • Cela garantit que les informations d'identification ne quittent jamais votre environnement.
  • Réduit le risque de fuite de secrets vers des LLM tiers.

Consommation du contexte du dépôt

Les modèles d'IA lisent désormais des fichiers de directives spécifiques au projet, tels que :

  • cloud.md
  • gemini.md
  • d'autres documents de directives architecturales ou de codage au niveau racine

Cela permet à Boost Security de produire des corrections contextuelles, telles que :

  • appliquer SQLAlchemy plutôt que SQL brut,
  • appliquer des modèles de sécurité spécifiques à l'organisation,
  • suivre les conventions d'ingénierie internes.

Détection des faux positifs alimentée par l'IA

L'IA peut identifier des résultats qui semblent être des faux positifs en fonction du contexte du code et recommander :

  • de marquer le résultat comme "sans boost" (suppression),
  • d'ajouter une justification au PR.

Cela réduit le bruit et améliore la confiance des développeurs dans le pipeline de numérisation.

Gestion des intégrations existantes

Vous pouvez gérer vos fournisseurs d'IA configurés à tout moment depuis la page Intégrations > IA.

  • Modifier : Pour changer le modèle sélectionné ou mettre à jour la clé API, cliquez sur l'icône de crayon à côté du fournisseur.

    Modifier intégration IA

  • Supprimer : Pour supprimer une intégration, cliquez sur l'icône de poubelle.

    Supprimer intégration IA

Dépannage

Erreur / Problème Cause possible Solution
"Échec de l'obtention des modèles disponibles" Clé API invalide ou autorisations manquantes. Vérifiez la clé, régénérez-la si nécessaire et mettez à jour votre configuration.
Suggestions IA n'apparaissent pas dans les Pull Requests Modèle non pris en charge ou mauvaise configuration SCM. Assurez-vous qu'un modèle capable de traiter du code est sélectionné, vérifiez l'intégration SCM et consultez les journaux de numérisation.
Suggestions de mauvaise qualité ou non pertinentes Modèle trop faible ou manquant de contexte. Essayez un modèle plus avancé et assurez-vous que les fichiers de directives (par exemple, cloud.md) sont présents pour la consommation de contexte.
Les secrets apparaissent dans les aperçus des suggestions Le dépôt contient des modèles non reconnus comme secrets par défaut. Confirmez que le masquage est activé, et mettez à jour les modèles de secrets de votre dépôt si nécessaire.

Questions fréquentes (FAQ)

Q1 : Puis-je connecter plusieurs fournisseurs d'IA en même temps ?

Non, vous ne pouvez installer qu'un seul fournisseur par compte pour générer des suggestions.

Q2 : Comment ma clé API est-elle stockée ?

Les clés API sont chiffrées et stockées de manière sécurisée, conformément aux meilleures pratiques de l'industrie.

Q3 : Quelles plateformes SCM prennent en charge la remédiation assistée par IA ?

Boost Security prend en charge la remédiation assistée par IA dans les PR pour GitHub, GitLab, Bitbucket et ADO.

Q4 : L'IA prend-elle en compte les directives de codage de mon dépôt ?

Oui. Si des directives comme cloud.md ou gemini.md sont présentes, l'IA les utilise pour produire des corrections conformes aux styles et politiques.

Q5 : Boost utilise-t-il son propre modèle d'IA ?

Non. Boost n'utilise pas, ne fait pas fonctionner ni n'opère son propre modèle d'IA pour les besoins de cette intégration. Boost se connecte uniquement au fournisseur d'IA que vous avez configuré et que vous êtes déjà autorisé à utiliser. Votre code est envoyé à ce fournisseur et n'est jamais analysé, stocké ou traité dans le cloud de Boost ou par une IA ou LLM détenu par Boost.