La startup de codage agent Baz Technologies Inc. a annoncé aujourd'hui le lancement d'une nouvelle plate-forme qui se situe entre les développeurs et les bases de code sur lesquelles ils travaillent afin de détecter les vulnérabilités logicielles avant qu'elles n'entrent dans les flux de production.
Mais la plus grande nouvelle a été le lancement de Baz Planner, qui a fait ses débuts aujourd'hui lors de l'exposition mondiale AI Engineer qui se déroule aujourd'hui à San Francisco. Baz Planner est une nouvelle passerelle qui achemine automatiquement chaque nouvelle idée via des boucles dynamiques capables de détecter et de comprendre instantanément la cause première des nouvelles vulnérabilités, puis de réécrire de manière proactive le plan de codage pour les éliminer.
L’outil suit les traces de son populaire outil AI Code Review lancé l’année dernière et se classe actuellement à la première place du Code Review Bench, pondéré avec précision. Grâce à cet outil, les équipes de développement peuvent gouverner et sécuriser leur code d'IA avec des agents d'IA conçus pour appliquer les normes de codage sur les problèmes de produits, de conception, d'architecture, de sécurité et de fiabilité.
Bien que les modèles d'IA cyber-capables capables d'analyser de manière autonome des millions de lignes de code pour découvrir des failles subtiles ne soient pas nouveaux, Baz Planner est conçu pour renforcer la sécurité du code d'un cran en examinant chaque modification ad hoc apportée à une base de code par rapport à la nouvelle architecture actuelle et future. Toute modification problématique introduite sera signalée avant même que le nouveau code ne soit enregistré.
La startup a été fondée par une équipe d'anciens ingénieurs de Palo Alto Networks Inc. qui ont contribué à faire évoluer les activités de sécurité des applications cloud de cette entreprise pour devenir l'une des principales sociétés de sécurité du code vers le cloud. L’équipe applique les quatre principes qui ont façonné le développement du cloud au code généré par l’IA : il doit être observable, explicable, prévisible et reproductible, afin d’éviter l’apparition de failles.
Avec Baz Planner, chaque nouvelle suggestion faite par un modèle d'IA est évaluée par rapport à une matrice de risques stricte qui bloque les chemins dangereux et impose des limites définies. Cela permettra uniquement au code d’être expédié en production après avoir appliqué une atténuation rigoureuse des risques. De cette manière, il a aidé les premiers utilisateurs à réduire les retouches en aval de plus de 65 %, comme le mesure la fréquence des retours en arrière et des correctifs logiciels qui doivent être effectués après une fusion.
Guy Eizenkot, co-fondateur et directeur général de Baz, a déclaré que les clients ont poussé l'entreprise à aller au-delà des révisions de code et à intervenir beaucoup plus tôt, pendant les étapes de planification. « C'est là qu'il est le moins cher d'éliminer les bogues et les vulnérabilités », a-t-il expliqué. « Baz existe parce qu'ils refusent d'accepter que le code généré par l'IA signifie accepter aveuglément le risque. »
Plutôt que de se concentrer sur le style et la syntaxe, Baz Planner analyse l'impact du nouveau code sur l'exécution pour tenter de détecter les bogues, les régressions silencieuses et autres failles de sécurité. L'outil emploie quatre agents spécialisés qui travaillent ensemble pour examiner chaque nouvelle suggestion de code, y compris un agent réviseur de spécifications qui valide le nouveau code par rapport aux exigences du produit, aux conceptions et au comportement attendu.
Ensuite, l'agent de sécurité avancé analyse les autorisations et les limites du réseau, l'infrastructure, les pipelines et enfin le code de l'application pour découvrir toute nouvelle vulnérabilité. L'agent ingénieur fiabilité du site corrélera les modifications du référentiel avec la télémétrie de production pour identifier les risques liés aux performances, à la fiabilité et à l'observabilité. Enfin, l'agent fixateur applique et valide chaque modification de code qui a été déterminée comme « sûre » dans un environnement d'exécution isolé.
