Aller au contenu

Updated Français translation

Activer les commentaires PR générés par l'IA pour la correction de sécurité

L'intégration IA de BoostSecurity vous permet d'améliorer votre flux de travail en sécurité en activant des commentaires de remédiation assistés par IA directement dans vos pull requests (PR). Lorsque vous sélectionnez l'option Ajouter un commentaire à la pull request dans les paramètres de la politique, la plateforme vous permet d'utiliser votre propre fournisseur d'IA (par ex., OpenAI, Gemini ou Anthropic), garantissant que votre analyse de code est effectuée uniquement par des services préalablement approuvés et adaptés à vos cas d'utilisation, afin de générer des suggestions de code exploitables et des commentaires, aidant les développeurs à corriger les vulnérabilités efficacement sans quitter leur flux de travail.

Notez que la remédiation assistée par IA est prise en charge pour les détections SAST, IaC et Secrets, mais pas pour SCA, car le chemin de remédiation pour les détections SCA est déjà très clair et bien maîtrisé par BoostSecurity, ce qui rend la valeur ajoutée d'une surcouche IA minimale.

Avantages clés

  • Commentaires PR automatisés : Recevez des suggestions et commentaires générés par l'IA, adaptés aux vulnérabilités détectées.
  • Assistance contextuelle : Les commentaires apparaissent de manière fluide dans vos pull requests sur les plateformes SCM prises en charge comme GitHub, GitLab, Azure DevOps (ADO) et Bitbucket.
  • Productivité développeur accrue : Permettez aux développeurs de vérifier et d'appliquer les conseils de remédiation directement depuis leur environnement de PR.
  • Retour personnalisable : Exploitez le modèle d'IA sélectionné pour aligner les commentaires sur les normes de codage et les besoins de sécurité de votre équipe.

Prérequis

Avant d'activer les commentaires générés par l'IA, assurez-vous du suivant :

  • Intégration du fournisseur d'IA : Un fournisseur d'IA (par ex., OpenAI, Gemini, Anthropic) est configuré avec une clé API valide, comme indiqué dans le guide Intégration des fournisseurs d'IA pour la remédiation assistée.
  • Modèle d'IA approprié : Le modèle choisi doit prendre en charge la génération de texte et l'analyse de code (par ex., gpt-4, claude-sonnet, gemini-pro). Les modèles conçus pour le traitement d'images ou d'audio sont incompatibles et peuvent entraîner des erreurs.

Étapes de configuration

Suivez ces étapes pour activer et personnaliser les commentaires générés par l'IA dans vos pull requests :

  1. Accédez à la page Politique et sélectionnez la politique où vous souhaitez activer les commentaires IA ou créez une nouvelle politique.

    Sélectionner la politique

  2. Dans l'éditeur de politique, configurez l'action "Ajouter un commentaire" en réalisant l'une ou les deux opérations suivantes :

    1. Définir comme action par défaut : Repérez le menu déroulant "Action par défaut" et sélectionnez Ajouter un commentaire à la pull request.

      Activer Ajouter un commentaire

    2. Créer une nouvelle règle : Cliquez sur le bouton +Action, définissez un déclencheur, et sélectionnez comme réponse conditionnelle à l'action choisie Ajouter un commentaire à la pull request.

      Ajouter une action

  3. Cliquez sur Enregistrer pour appliquer la politique. BoostSecurity générera désormais des commentaires assistés par l'IA pour les détections détectées dans les PRs.

À quoi ressemblent les commentaires générés par l'IA

GitHub remédiation IA activée

Lorsque la remédiation par l'IA est activée, les commentaires apparaissent comme suit dans votre pull request :

Exemple de constat de sécurité par l'IA

Détection sur GitHub

Exemple de remédiation par l'IA

Remédiation IA

  • Les commentaires sont publiés directement dans le fil de la PR, en lien avec la ligne de code concernée.
  • Les suggestions incluent des extraits de code, des explications et des bonnes pratiques en fonction du modèle d'IA sélectionné.

Gestion des commentaires générés par l'IA dans les PR

  • Modifier la politique : Ajustez ou changez de modèle d'IA via la page Intégrations > IA si la qualité des commentaires nécessite une amélioration.
  • Désactiver les commentaires : Désélectionnez l'option "Ajouter un commentaire à la pull request" pour arrêter les commentaires générés par l'IA tout en conservant les autres fonctionnalités de remédiation.

Dépannage

Problème Cause possible Solution
Aucun commentaire n'apparaît dans les PRs L'option "Ajouter un commentaire à la pull request" est désactivée, la politique n'est pas correctement configurée, ou le fournisseur d'IA est mal configuré. Vérifiez les paramètres de la politique et contrôlez la configuration du fournisseur d'IA dans Intégrations.
Commentaires non pertinents ou de faible qualité Modèle inadapté à l'analyse de code. Passez à un modèle orienté texte/code (par ex., gpt-4 plutôt que gpt-3.5).
Commentaires manquant de contexte Données PR insuffisantes ou limites du modèle. Assurez-vous que la PR inclut le contexte complet ; testez avec un modèle plus avancé.
Pas de remédiation automatique Il n'y a pas de détections SAST, Secrets ou IaC dans la PR La remédiation automatique ne se déclenche que pour les vulnérabilités SAST, Secrets ou IaC.