ANSSI et le BSI publient des recommandations pour la génération de codes
lun, 07/10/2024 - 09:14
Les recommandations autour de l'IA et de l'IA générative se multiplient aussi vite que les nouveaux LLM. Cette fois-ci, l'ANSSI (France) et le BSI (équivalant allemand) ont publié des recommandations sur la sécurité face à l'utilisation d'assistants de génération de code basés sur l'IA. "S’ils présentent des avantages certains, ces produits peuvent aussi induire de nouveaux risques de sécurité et doivent nécessairement être abordés avec prudence. Dans ce cadre, l’ANSSI et le BSI présentent, dans un document rédigé en anglais, les opportunités et les risques de l'utilisation d'assistants de programmation basés sur l’IA, notamment les risques liés aux services mutualisés, accessibles depuis Internet. Le document a pour objectif de contribuer à une utilisation responsable et sûre de ces outils et propose une série de recommandations de sécurité à destination des responsables et développeurs. "
Le document reconnaît les avantages de ces outils d'IA pour les développeurs et les entreprises :
- génération de code pour accéléer le développement
- faciliter et améliorer le debug
- générer les cas de test
- comprendre du code extérieur
- mieux formater et documenter le code
- automatiser la conversion du code vers un autre langage
Plusieurs risques sont pointés :
- la confidentialité des données ou des projets avec un risque réel de shadow IT
- des générations de code biaisées : codes non conformes, comportements imprévus, etc.
- qualité du code et sécurité : c'est la grande crainte. Il ne faut pas se fier au code généré. Il faut donc vérifier et qualifier les codes générés pour éviter une faille de sécurité ou l'introduction d'un code potentiellement mauvais. Une revue de code systématique est donc nécessaire, ainsi que des tests de code et l'utilisation de scanners de vulnérabilités
- risque d'introduire un code malicieux ou faciliter une attaque de la CI-CD.
- risque d'inclure des méthodes et des fonctions n'existant pas en utilisant sans précaution l'autocomplétion. Toute librairie inconnue doit être vérifiée, suivre les bonnes pratiques de codage, comprendre les dépendances, etc.
- attention aux injections indirectes via les prompts ou comment introduire de façon discrète un code malveillant
- utiliser des LLM / SLM connus et qualifiés. Eviter les LLM exotiques
Le document reprend de nombreuses recommandations existantes mais il est toujours utile de les rappeler.