Avec Veracode Fix, la plateforme DevSecOps de détection des vulnérabilités au cœur des codes sources se dote d’une IA capable de corriger les lignes incriminées et non plus uniquement de les pointer du doigt.
Il existe une réalité de terrain contre laquelle il est difficile de lutter : les entreprises ont du mal à trouver le juste équilibre entre donner la priorité à la remédiation des failles de sécurité des codes qu’elles développent et répondre à la pression des métiers pour obtenir le plus rapidement possible l’application dont ils ont besoin. Entre sécurité et productivité, l’équilibre à trouver pour les développeurs n’est pas simple.
Permettre d’être productif tout en préservant la sécurité du code produit a toujours été la raison d’être de la plateforme SaaS Veracode, un des leaders des outils des chaînes DevSecOps. Conçue pour s’intégrer à la fois dans les IDE (environnements de développement) des développeurs et au cœur de la chaîne CI/CD, Veracode met en évidence les failles de sécurité et mauvaises pratiques de cybersécurité au sein des codes sources et des binaires.
« Jusqu’ici notre plateforme repérait les vulnérabilités présentes dans le code des développeurs ou dans les librairies utilisées. Elle indiquait alors aux développeurs où se situaient les failles tout en donnant des exemples génériques de comment les corriger. Ces exemples expliquaient finalement que la correction devait ressembler ‘à quelque chose comme ça’, mais la proposition était complètement décorrélée, décontextualisée du code du développeur. Ce dernier devait alors comprendre le mécanisme mis en œuvre et l’adapter à sa propre situation », explique Frédéric Patouly, Strategic Channel Manager chez Veracode France. « En introduisant une IA générative au cœur de notre plateforme, nous sommes désormais en mesure d’analyser le code et de procurer une ou plusieurs propositions de correction. Le développeur peut choisir la version qui lui plait le plus et directement remplacer le code vulnérable par celui proposé par notre IA ».
Veracode Fix, l’IA qui corrige votre code vulnérable
Veracode annonce en effet Veracode Fix une nouvelle IA basée sur la technologie GPT (Generative Pre-trained Transformer) pour suggérer des corrections aux failles de sécurité trouvées dans le code et les dépendances open source.
Veracode Fix permet ainsi aux développeurs et aux équipes de sécurité de gagner du temps et de réduire les risques en semi-automatisant la réparation des vulnérabilités. Selon l’éditeur, Veracode Fix change le paradigme de la sécurité des applications et le rôle de sa plateforme, en passant de simplement « détecter les vulnérabilités » à « détecter et corriger les vulnérabilités ».
En développement depuis 18 mois, cette nouvelle IA d’aide aux développeurs est le fruit du rachat de Jaroona (un spécialiste du data mining et de l’IA) par Veracode en 2019. Elle s’appuie sur un moteur GPT maison (et non sur les déclinaisons GPT d’OpenAI par exemple) entraîné par les équipes R&D de Veracode à partir de datasets élaborés par Veracode et comprenant des milliards de lignes de codes. « Cela permet de garantir à nos clients que les codes correctifs proposés par notre IA ne violent aucun copyright, mais aussi que les codes analysés par la plateforme ne sont pas stockés sur le long terme ni utilisés pour réentraîner notre modèle IA » assure Frédéric Patouly.
Si la plateforme Veracode supporte 27 langages, l’IA Veracode Fix ne fonctionne pour l’instant que sur des codes Java et C#. L’éditeur assure que d’autres langages de développement seront supportés dans un proche avenir.
Actuellement en Bêta fermée, Veracode Fix devrait être officiellement disponible et accessible à tous en juin 2023.
puis