Activer les commentaires PR générés par l'IA pour la correction de sécurité¶
L'intégration IA de BoostSecurity vous permet d'améliorer votre prise en charge de la sécurité en activant des commentaires de remédiation assistés par IA directement dans vos pull requests (PR). Lorsque vous sélectionnez l'option Ajouter un commentaire à la pull request dans les paramètres de la politique, la plateforme vous permet d'utiliser votre propre fournisseur d'IA (par ex., OpenAI, Gemini ou Anthropic), garantissant que votre analyse de code est effectuée uniquement par des services préalablement approuvés et adaptés à vos cas d'utilisation, afin de générer des suggestions de code exploitables et des commentaires, aidant les développeurs à corriger les vulnérabilités efficacement sans quitter leur environment de travail.
Notez que la remédiation assistée par IA est prise en charge pour les détections SAST, IaC et Secrets, mais pas pour SCA, car le chemin de remédiation pour les détections SCA est déjà très clair et bien maîtrisé par BoostSecurity, ce qui rend la valeur ajoutée d'une surcouche IA minimale.
Avantages clés¶
- Commentaires PR automatisés : Recevez des suggestions et commentaires générés par l'IA, adaptés aux vulnérabilités détectées.
- Assistance contextuelle : Les commentaires apparaissent de manière fluide dans vos pull requests sur les plateformes SCM prises en charge comme GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
- Productivité développeur accrue : Permettez aux développeurs de vérifier et d'appliquer les conseils de remédiation directement depuis leur environnement de PR.
- Retour personnalisable : Exploitez le modèle d'IA sélectionné pour aligner les commentaires sur les normes de codage et les besoins de sécurité de votre équipe.
Prérequis¶
Avant d'activer les commentaires générés par l'IA, assurez-vous du suivant :
- Intégration du fournisseur d'IA : Un fournisseur d'IA (par ex., OpenAI, Gemini, Anthropic) est configuré avec une clé API valide, comme indiqué dans le guide Intégration des fournisseurs d'IA pour la remédiation assistée.
- Modèle d'IA approprié : Le modèle choisi doit prendre en charge la génération de texte et l'analyse de code (par ex.,
gpt-4,claude-sonnet,gemini-pro). Les modèles conçus pour le traitement d'images ou d'audio sont incompatibles et peuvent entraîner des erreurs.
Étapes de configuration¶
Suivez ces étapes pour activer et personnaliser les commentaires générés par l'IA dans vos pull requests :
-
Accédez à la page Politique et sélectionnez la politique où vous souhaitez activer les commentaires IA ou créez une nouvelle politique.
-
Dans l'éditeur de politique, configurez l'action "Ajouter un commentaire" en réalisant l'une ou les deux opérations suivantes :
-
Définir comme action par défaut : Repérez le menu déroulant "Action par défaut" et sélectionnez Ajouter un commentaire à la pull request.
-
Créer une nouvelle règle : Cliquez sur le bouton +Action, définissez un déclencheur, et sélectionnez comme réponse conditionnelle à l'action choisie Ajouter un commentaire à la pull request.
-
-
Cliquez sur Enregistrer pour appliquer la politique. BoostSecurity générera désormais des commentaires assistés par l'IA pour les détections détectées dans les PRs.
À quoi ressemblent les commentaires générés par l'IA¶
Lorsque la remédiation par l'IA est activée, les commentaires apparaissent comme suit dans votre pull request :
Exemple de constat de sécurité par l'IA¶
Exemple de remédiation par l'IA¶
- Les commentaires sont publiés directement dans le fil de la PR, en lien avec la ligne de code concernée.
- Les suggestions incluent des extraits de code, des explications et des bonnes pratiques en fonction du modèle d'IA sélectionné.
Gestion des commentaires générés par l'IA dans les PR¶
- Modifier la politique : Ajustez ou changez de modèle d'IA via la page Intégrations > IA si la qualité des commentaires nécessite une amélioration.
- Désactiver les commentaires : Désélectionnez l'option "Ajouter un commentaire à la pull request" pour arrêter les commentaires générés par l'IA tout en conservant les autres fonctionnalités de remédiation.
Dépannage¶
| Problème | Cause possible | Solution |
|---|---|---|
| Aucun commentaire n'apparaît dans les PRs | L'option "Ajouter un commentaire à la pull request" est désactivée, la politique n'est pas correctement configurée, ou le fournisseur d'IA est mal configuré. | Vérifiez les paramètres de la politique et contrôlez la configuration du fournisseur d'IA dans Intégrations. |
| Commentaires non pertinents ou de faible qualité | Modèle inadapté à l'analyse de code. | Passez à un modèle orienté texte/code (par ex., gpt-4 plutôt que gpt-3.5). |
| Commentaires manquant de contexte | Données PR insuffisantes ou limites du modèle. | Assurez-vous que la PR inclut le contexte complet ; testez avec un modèle plus avancé. |
| Pas de remédiation automatique | Il n'y a pas de détections SAST, Secrets ou IaC dans la PR | La remédiation automatique ne se déclenche que pour les vulnérabilités SAST, Secrets ou IaC. |
| --- |
BoostSecurity's intégration AI permet des commentaires de remédiation assistée par AI directement dans vos pull requests. En configurant les actions "Ajouter un commentaire à la pull request" et "Générer une remédiation AI" dans vos paramètres de politique, vous pouvez utiliser votre fournisseur AI (OpenAI, Bedrock, Gemini, ou Anthropic) pour générer des suggestions de code exploitables. Cela permet aux développeurs de rester dans leur flux de travail tout en traitant les vulnérabilités de sécurité.
Note
La remédiation assistée par l'AI n'est disponible que pour les résultats SAST, IaC, et Secrets. Les résultats SCA sont exclus car BoostSecurity fournit déjà des voies de remédiation claires et bien comprises pour ces vulnérabilités.
Avantages Clés¶
- Commentaires PR Automatisés : Recevez des suggestions et commentaires générés par l'AI adaptés aux vulnérabilités détectées.
- Assistance Contextuelle : Les commentaires apparaissent sans heurts dans vos pull requests sur les plateformes SCM supportées telles que GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
- Productivité Améliorée des Développeurs : Permettez aux développeurs de réviser et d'appliquer les conseils de remédiation directement dans leur environnement de PR.
- Retour Personnalisable : Tire parti du modèle AI sélectionné pour aligner les commentaires avec les standards de codage et les besoins en matière de sécurité de votre équipe.
Prérequis¶
Avant d'activer les commentaires générés par l'AI, assurez-vous des éléments suivants :
- Intégration du Fournisseur AI : Un fournisseur AI (par exemple, OpenAI, Bedrock, Gemini, et Anthropic) est configuré avec une clé API valide, comme décrit dans le guide Intégration des Fournisseurs AI pour la Remédiation Assistée.
- Modèle AI Approprié : Le modèle choisi doit supporter la génération de texte et l'analyse de code (par exemple,
gpt-4,claude-sonnet,gemini-pro). Les modèles conçus pour le traitement d'images ou d'audio sont incompatibles et peuvent entraîner des erreurs.
Étapes de Configuration¶
Suivez ces étapes pour activer et personnaliser les commentaires générés par l'AI dans vos pull requests :
-
Accédez à la page de politique et sélectionnez la politique où vous souhaitez activer les commentaires AI ou créez une nouvelle politique.
-
Dans l'éditeur de politique, configurez les commentaires générés par l'AI en sélectionnant l'une de ces options :
-
Définir comme Action par Défaut : Localisez le menu déroulant "Action par défaut" et sélectionnez "Ajouter un commentaire à la pull request" et "Générer une remédiation AI".
-
Créer Nouvelle Règle : Cliquez sur le bouton +Action, définissez un déclencheur, et choisissez la réponse conditionnelle à l'action sélectionnée pour être "Ajouter un commentaire à la pull request" et "Générer une remédiation AI".
-
-
Cliquez sur Enregistrer pour appliquer votre configuration. Ensuite, assignez la politique à vos ressources pour activer les commentaires assistés par AI. BoostSecurity générera alors automatiquement des commentaires de remédiation AI pour les vulnérabilités de sécurité détectées dans vos pull requests.
À Quoi Ressemblent les Commentaires Générés par l'AI¶
Lorsque la remédiation AI est activée, les commentaires apparaissent comme suit dans votre pull request :
Exemple de Découverte de Sécurité AI¶
Exemple de Remédiation AI¶
- Les commentaires sont publiés directement dans le fil de la PR, liant à la ligne de code affectée.
- Les suggestions incluent des extraits de code, des explications et des meilleures pratiques basées sur le modèle AI sélectionné.
Gestion des Commentaires PR Générés par l'AI¶
- Modifier la Politique : Ajustez ou changez les modèles AI via la page Intégrations > AI si la qualité des commentaires doit être améliorée.
- Désactiver les Commentaires : Désélectionnez l'option "Ajouter un commentaire à la pull request" pour arrêter les commentaires générés par l'AI tout en maintenant les autres fonctionnalités de remédiation actives.
Dépannage¶
| Problème | Cause Possible | Solution |
|---|---|---|
| Pas de Commentaires Aparrêtés dans les PRs | "Ajouter un commentaire à la pull request" est désactivé, la politique n'est pas configurée correctement, ou le fournisseur AI est mal configuré. | Vérifiez les paramètres de la politique et examinez la configuration du fournisseur AI dans les Intégrations. |
| Commentaires Non Pertinents ou de Mauvaise Qualité | Modèle inadapté pour l'analyse de code. | Changez pour un modèle orienté texte/code (par exemple, gpt-4 au lieu de gpt-3.5). |
| Commentaires Manquant de Contexte | Données PR insuffisantes ou limitations du modèle. | Assurez-vous que la PR inclut le contexte complet ; testez avec un modèle plus avancé. |
| Pas de Auto-Remédiation | Il n'y a pas de résultats SAST, Secrets ou IaC dans la PR | l'auto-remédiation ne se déclenche que pour les vulnérabilités SAST, Secrets ou IaC. |