Sonatype lance une solution de sécurité pour le codage par IA… suppression de 27 % des faux packages logiciels

Avec l’évolution des outils d’assistance à la programmation par IA, la vitesse de développement s’accélère, mais les risques de sécurité augmentent également. Pour répondre à ce défi, Sonatype, une société spécialisée dans la sécurité de la chaîne d’approvisionnement logicielle, a lancé une nouvelle solution. Le 9 (heure locale), Sonatype a officiellement annoncé le lancement de “Sonatype Guide”, une plateforme conçue pour aider les développeurs à utiliser l’IA afin de créer des logiciels open source plus sûrs et de meilleure qualité. Cette plateforme s’intègre automatiquement aux outils d’assistance au codage par IA, éliminant les paquets vulnérables ou inexistants et n’utilisant que des dépendances dont la fiabilité est vérifiée.

Sonatype souligne que les modèles d’IA actuels sont généralement entraînés sur des dépôts open source datant de plusieurs mois ou années, ce qui les conduit souvent à proposer du code erroné ou des “paquets fantômes” déconnectés de la réalité. Selon une étude prochainement publiée par Sonatype, jusqu’à 27 % des principaux modèles d’IA générative recommandent des composants open source qui n’existent pas réellement. Cela peut entraîner des retours en arrière pour les développeurs, un gaspillage de jetons LLM, voire des menaces pour la sécurité.

Sonatype Guide résout ces problèmes en fournissant des références fiables dès la phase de conception et en automatisant la gestion des dépendances. Des tests préliminaires auprès d’entreprises ont montré une amélioration de plus de 300 % de la performance en matière de sécurité et une réduction significative des ressources nécessaires aux correctifs de sécurité. De plus, le coût de mise à jour des dépendances est plus de cinq fois inférieur à celui des solutions existantes.

Bhagwat Swaroop, PDG de Sonatype, souligne : “Pour toutes les organisations cherchant à maximiser leur productivité, l’IA est un outil attrayant, mais elle ne doit pas se faire au détriment de la sécurité ou de la maintenabilité. Guide dote les outils de codage par IA de ‘yeux’, leur permettant ainsi de faire des choix avisés et prudents. C’est un tournant majeur pour l’industrie.”

Sonatype Guide est compatible avec les principales plateformes de codage par IA telles que GitHub Copilot, Google Antigravity, AWS Q, et Juni basé sur IntelliJ, sans nécessiter de modification des workflows ou des environnements IDE existants. Sa technologie centrale, le “Modèle de serveur de protocole contextuel” (MCP), intercepte en temps réel les recommandations de paquets lors de la rédaction du code, orientant les développeurs vers des paquets fiables et vérifiés. Elle propose également une fonction de recherche open source de niveau entreprise ainsi qu’un support API complet, offrant une grande flexibilité pour s’adapter à différentes tailles et architectures d’entreprise.

La version de Guide présentée s’appuie sur la technologie “Sonatype Intelligence”, capable d’identifier de manière proactive en temps réel les vulnérabilités, paquets malveillants ou projets abandonnés grâce à l’analyse de données. En intégrant ce moteur intelligent dans le processus décisionnel de l’IA, Guide oriente les développeurs vers des choix technologiques plus sûrs et plus fiables dès les premières étapes.

Avec la démocratisation du développement logiciel alimenté par l’IA, une nouvelle ère de productivité se dessine, mais les préoccupations concernant la sécurité et la qualité s’intensifient également. Dans ce contexte, Sonatype Guide a le potentiel de devenir une solution stratégique aidant les entreprises à surmonter les défis de l’IA tout en poursuivant l’innovation sur une base de code sécurisé.