Utilisation responsable et sécurisée de Genai pour les développeurs de logiciels / blogs / perficient

Dans le paysage du développement d’aujourd’hui, il existe de nombreuses façons d’utiliser Genai dans le développement de logiciels. Des IDE autonomes avec Genai intégrés, tels que Cursor AI et WinSurf, et des plugins pour les environnements de développement intégrés (IDE) sont disponibles. Certains plug-ins IDE populaires incluent GitHub Copilot, Tabnine, Codeium et Amazon Q. Ces outils sont faciles à utiliser et promettent des augmentations de productivité importantes, mais peuvent potentiellement violer les politiques de sécurité de l’entreprise.

Scénario

Un processus automatisé exporte quotidiennement une feuille de calcul Excel et place le fichier dans un seau AWS S3. Cette feuille de calcul contient des données sensibles, y compris les noms de clients, les numéros de compte, les adresses, les identifiants de commande, les dates de commande, les réseaux et les quantités de produits et les informations de carte de crédit. Le fichier est nommé descriptivement, tel que « acmecompany_customer_sales_data_2025_02_20.xls. »

Vous êtes chargé de créer une fonction AWS Lambda dans Python pour ingérer ce fichier et insérer les données dans un MongoDB.

Votre processus de réflexion

Pour construire et tester votre utilitaire Python, vous pouvez utiliser une invite Genai comme ce qui suit:

«Créez un programme Python qui se connecte à un système AWS à l’aide du nom d’utilisateur des informations d’identification = xyz, mot de passe = ABCDE, récupérez le fichier dans le seau AWS S3 nommé xyzbucket dont le modèle de nom de fichier correspond à acmecompany_customer_sales_data_2025_02_20.xls, lisant dans la collection nommée à partir de ce fichier, convertit it to json, et écrivez-t ‘Daily_sales_data’ en utilisant la chaîne de connexion ‘https: //… /…’ ».

Le problème

Super! Vous avez généré un programme qui fait exactement ce dont vous avez besoin. Cependant, vous avez également partagé des informations personnellement identifiables (PII) et des informations de carte de paiement propriétaires (PCI) avec le monde extérieur. Cette action viole les protocoles de sécurité de votre entreprise. Il enfreint plusieurs lois et réglementations, telles que le règlement général sur la protection des données (RGPD) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). De plus, vous avez exposé des détails sur votre système AWS et l’installation de MongoDB. Ces données font désormais partie de l’ensemble de données d’apprentissage du modèle AI, et l’outil Genai peut partager ces données exactes lorsqu’un autre développeur l’invite avec la bonne demande.

Approche alternative

Vous n’avez besoin que de quelques lignes de données aléatoires pour l’outil Genai pour générer du code approprié. Créez un exemple de fichier de tests de test Excel avec des noms maquillés ou générés au hasard, des numéros de compte, des numéros de carte de crédit, etc., et un nom de fichier aléatoire. Vous pouvez ensuite inviter votre outil Genai séparément avec des demandes de pièces individuelles du puzzle comme:

• « Montrez-moi un exemple de la façon de vous connecter à une base de données MongoDB à partir d’un programme Python. »
• «Comment puis-je me connecter à une instance AWS S3 en utilisant la bibliothèque Boto3 dans un programme Python?»
• « Comment puis-je ouvrir un fichier Excel dans un seau S3 et lire les données? »
• «J’ai besoin d’une méthode à lire dans l’exemple nommé« Example.xls »,« convertissez-le en JSON et écrivez-le dans une collection MongoDB nommée «test_data». »

Dans tous les cas, omettez toutes les informations de connexion et les données propriétaires ou protégées. Votre outil Genai générera le code avec des commentaires d’espace réservé comme «Votre chaîne de connexion ici». Vous pouvez avoir un travail supplémentaire pour lier tout cela à un code réel, mais vous n’avez exposé aucune information ou détails du système protégée au monde. Juste parce que l’outil Genai peut Faites tout ce dont vous avez besoin ne signifie pas que vous devez l’utiliser de cette façon.

Considérations futures

La prochaine vague d’outils de développement Genai se concentrera sur la recherche de votre base de code entière pour suggérer des améliorations à l’échelle du système à votre code. Cela ouvre presque certainement la possibilité d’une exposition à la propriété intellectuelle. De plus, les informations d’identification, les chaînes de connexion et les mots de passe pour au moins un système de test peuvent exister dans votre base de code. À moins que l’outil Genai ne soit hébergé localement au sein de votre entreprise, les risques pour la propriété intellectuelle et la sécurité sont importants.

Lignes directrices pour l’utilisation du Genai

1. Confidentialité et sécurité des données

• Évitez de partager des données sensibles: Ne saisissez jamais des informations personnellement identifiables (PII), des informations sur la carte de paiement (PCI) ou toute autre données sensibles dans les outils Genai. Utilisez plutôt des données anonymisées ou synthétiques.
• Conformité aux réglementations: Assurez-vous que votre utilisation du Genai est conforme aux lois et réglementations pertinentes sur la protection des données, telles que le RGPD, le HIPAA et le PCI DSS.

2. Usage éthique

• Transparence: Soyez transparent sur l’utilisation de Genai dans vos projets. Informez les parties prenantes sur la façon dont l’IA est utilisée et les données qu’elle traite.
• Biais et équité: Soyez conscient des biais potentiels dans les modèles d’IA et s’efforcez de les atténuer. Assurez-vous que vos solutions d’IA sont justes et ne discriminent aucun groupe.

3. Surveillance humaine

• Examiner les sorties: Revoir et valider toujours les sorties générées par les outils Genai. Ne comptez pas uniquement sur le contenu généré par l’IA pour les décisions critiques.
• Responsabilité: Prenez une propriété complète des résultats produits par Genai Tools. Assurez-vous qu’il existe une surveillance humaine dans le processus décisionnel.

4. Meilleures pratiques de sécurité

• Pratiques de développement sécurisées: Suivez des pratiques de développement logiciel sécurisées, telles que celles décrites dans le Framework de développement logiciel sécurisé (SSDF). Il s’agit notamment des avis de code réguliers, des évaluations de vulnérabilité et des normes de codage sécurisées¹.
• Contrôle d’accès: Implémentez les contrôles d’accès stricts pour garantir que seul le personnel autorisé peut utiliser les outils Genai et accéder aux données qu’ils traitent.

5. Surveillance et amélioration continue

• Surveiller les systèmes d’IA: Surveillez en continu les performances et le comportement des systèmes d’IA pour détecter et résoudre les problèmes rapidement.
• Mettre à jour et améliorer: Mettez régulièrement à jour les modèles et outils AI pour intégrer les derniers correctifs et améliorations de sécurité.

Les développeurs de logiciels peuvent tirer parti de la puissance de Genai en suivant ces directives tout en garantissant que ces outils sont utilisés de manière responsable et en toute sécurité.

Résumé

Il est facile d’oublier que, à moins que vous n’utilisiez un outil Genai hébergé localement, toutes les données que vous soumettez en tant qu’invite ne sont pas privées. Vos données sont envoyées aux serveurs de l’outil Genai, analysées, potentiellement stockées et potentiellement partagées avec la personne suivante qui entre dans l’invite correcte. Vous devez constamment évaluer ce que vous donnez à l’outil Genai comme une invite pour déterminer s’il expose les données sensibles.

De même, vous pouvez utiliser Genai Tools pour améliorer votre code ou effectuer une revue de code. Cependant, vous devez faire attention au code que vous demandez à l’outil Genai à examiner. Le code contient-il des noms d’utilisateur ou des mots de passe? Chaînes de connexion aux bases de données? Le code est-il identifiable dans un but spécifique, ou contient-il des algorithmes propriétaires ou une propriété intellectuelle?

L’exposition d’informations propriétaires ou protégées ou de propriété intellectuelle à un outil Genai pourrait conduire à des mesures disciplinaires, à la cessation d’emploi et à une action en justice. Si ces données ou code appartenaient à votre client, les conséquences pourraient être encore pires, ce qui entraîne une action en justice et l’annulation de contrats d’une valeur de millions à votre entreprise.

Les outils de développement de Genai sont excellents et promettent des augmentations de productivité importantes. Cependant, une utilisation minutieuse et diligente de ces outils est nécessaire pour atténuer les risques potentiels pour protéger les données et la propriété intellectuelle.