L’intégration de l’intelligence artificielle dans le processus de développement logiciel introduit de nouvelles complexités pour la sécurité de la chaîne d’approvisionnement.
Depuis cinq ans, la sécurité de la chaîne d’approvisionnement logicielle s’est principalement concentrée sur une question fondamentale : « qu’y a-t-il dans votre code ? ». Cela impliquait d’identifier précisément les paquets open-source, leurs versions et les dépendances transitives, parfois enfouies sur plusieurs niveaux et non choisies délibérément.
Des incidents majeurs comme SolarWinds, Log4Shell et XZ Utils ont mis en lumière une leçon cruciale : le risque ne réside pas uniquement dans le code explicitement sélectionné. L’arrivée de l’IA dans le pipeline de construction logicielle modifie cette équation, ajoutant une couche d’incertitude et de nouvelles vulnérabilités potentielles au-delà de la simple composition des composants.
La question se pose désormais de savoir comment gérer les risques inhérents à un code partiellement ou entièrement généré par des systèmes autonomes, et comment maintenir la traçabilité et la confiance dans un environnement de développement en constante évolution.
Source : The Hacker News