IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les cadres sont prêts à adopter les outils de codage IA, mais les développeurs le sont moins
Alors que les directeurs techniques estiment que ces outils ne présentent aucun risque et sont "extrêmement prêts"

Le , par Anthony
33 commentaires

34PARTAGES

4  0 
Un nouveau rapport révèle un décalage entre les dirigeants et leur empressement à adopter les outils de codage IA et ceux qui les utilisent réellement et qui sont prudents à l'égard de l'IA.

L'étude de Snyk montre que les directeurs techniques et les RSSI sont cinq fois plus nombreux que les développeurs à penser que les outils de codage IA ne présentent aucun risque et deux fois plus nombreux que les développeurs à penser qu'ils sont « extrêmement prêts » à adopter des outils de codage IA.

32 % des personnes interrogées dans la suite C décrivent l'adoption rapide des outils de codage IA comme critique, soit deux fois plus que les personnes interrogées dans le cadre de l'AppSec.


« L'ère de la GenAI est arrivée, et il n'est pas possible de “remettre le génie dans la bouteille”. Nous pensons qu'il incombe désormais au secteur de la cybersécurité de recommander des lignes directrices claires qui nous permettront à tous de bénéficier de cette productivité accrue, sans les sacrifices de sécurité associés », déclare Danny Allan, directeur de la technologie chez Snyk. « Cette dernière étude montre aussi clairement que la mise à l'échelle des outils de codage IA doit être un effort de collaboration. Les directeurs techniques devraient s'efforcer de travailler côte à côte et de faire confiance à leurs chefs d'équipe DevSecOps afin qu'ensemble, nous puissions récolter en toute sécurité tous les avantages de la GenAI sur le long terme. »

Dans l'ensemble, la sécurité du code généré par l'IA n'est pas une préoccupation majeure pour la majorité des organisations interrogées. Près des deux tiers (63,3 %) des personnes interrogées considèrent que la sécurité est excellente ou bonne, et seulement 5,9 % la considèrent comme mauvaise.

Une fois de plus, il y a un décalage, 38,3 % du personnel AppSec estimant que les outils de codage IA sont « très risqués ». Les répondants AppSec s'interrogent également sur les politiques de sécurité de leur organisation concernant les outils de codage IA. Près d'un tiers (30,1 %) des membres de l'équipe AppSec déclarent que les politiques de sécurité de leur organisation en matière d'IA sont insuffisantes, contre 11 % des personnes interrogées de la suite C et 19 % des développeurs/ingénieurs. 19 % des personnes interrogées de la suite C affirment que les outils de codage de l'IA ne sont pas du tout risqués, alors que seulement 4,1 % des personnes interrogées de l'AppSec sont d'accord avec cette affirmation.

Les résultats clés du rapport 2023 AI Code Security Report de Snyk sont présentés ci-dessous :

Selon le rapport 2023 AI Code Security Report de Snyk, 96 % des codeurs utilisent des outils d'IA générative dans leurs flux de travail. Les organisations qui conçoivent des logiciels savent qu'elles doivent adopter ces outils pour rester compétitives et pour attirer et retenir les talents. L'intégration d'outils de codage IA dans le cycle de développement des logiciels pose divers défis en matière de sécurité et d'exploitation. Dans quelle mesure les leaders technologiques et leurs équipes sont-ils prêts pour la nouvelle ère des outils de codage IA ? Et comment se préparent-ils à ce changement important dans la manière dont les logiciels sont écrits ?

Snyk a posé à plus de 400 technologues une série de questions destinées à évaluer le degré de préparation à l'IA de leurs organisations et à mesurer leurs perceptions des outils de codage IA. L'enquête a porté sur trois groupes : les cadres technologiques de haut niveau, les équipes de sécurité des applications et les développeurs/ingénieurs. Ces groupes avaient des points de vue différents sur la sécurité des outils de codage IA et du code, sur l'efficacité des politiques de sécurité du code IA et sur l'état de préparation des organisations au codage IA.

Les organisations sont confiantes dans leur préparation à l'IA, en particulier les dirigeants

Les organisations sont généralement convaincues qu'elles sont prêtes et préparées à adopter l'IA. En réponse aux questions portant directement ou indirectement sur l'état de préparation à l'IA, la majorité des organisations adoptent rapidement l'IA au point de court-circuiter l'analyse standard des cas d'utilisation et les tests de produits avant le déploiement. Pour leur part, les répondants de la suite C sont à la fois plus sûrs que leur organisation est prête à adopter l'IA et plus sûrs que leurs outils d'IA sont sécurisés.


Excellente préparation à l'IA ? Les RSSI et les directeurs techniques sont deux fois plus disposés à adopter l'IA que les développeurs

Dans les trois types de rôles, une majorité de répondants ont déclaré que leur organisation était « extrêmement prête » ou « très prête » pour l'adoption d'outils de codage IA. Moins de 4 % ont déclaré que leur organisation n'était pas prête. Cependant, les répondants de la suite C sont plus confiants que les autres groupes de répondants dans le fait que leur organisation est amorcée et prête pour le déploiement et l'adoption d'outils de codage IA. 40,3 % de ce groupe ont estimé que leur organisation était « extrêmement prête », contre seulement 26 % des membres de l'équipe AppSec et 22,4 % des développeurs. Il n'y avait pas de différence significative entre les RSSI et les CTO, ce qui semble contre-intuitif étant donné l'accent mis sur la sécurité et le risque par les RSSI. Cela pourrait être dû à la pression intense exercée sur le leadership technologique pour déployer rapidement des outils de codage IA et accélérer les processus de développement de logiciels. La réticence d'autres groupes reflète probablement des préoccupations sur le terrain concernant des problèmes de préparation spécifiques liés à la sécurité, à la formation, à la qualité du code et à d'autres détails de la couche de mise en œuvre.

Les organisations craignent sur la sécurité du codage IA mais ne se préparent pas correctement

Malgré des réponses fortement positives concernant la préparation des organisations, les politiques de sécurité, la qualité du code IA et le risque, les personnes interrogées citent toujours la sécurité comme le plus grand obstacle à l'adoption des outils de codage IA. En contradiction apparente avec ce sentiment, ils ne parviennent pas non plus à prendre des mesures de base pour minimiser les risques et préparer leurs organisations, telles que l'exécution de POC et la formation des développeurs sur les outils de codage IA.


Ceux qui travaillent plus étroitement avec le code ont plus de doutes sur les questions de sécurité

Les équipes AppSec ont tendance à avoir une vision plus négative des risques de sécurité de l'IA et de la façon dont leur organisation gère ces risques. Elles avaient notamment une moins bonne opinion de la sécurité du code généré par l'IA, une plus grande perception du risque lié aux outils d'IA et une moins bonne opinion de la suffisance des politiques de sécurité de leur organisation en matière d'IA.

Conclusion

Prêt ou non ? Les répondants sont généralement positifs quant à l'état de préparation des outils de codage IA dans leurs organisations. Ils pensent généralement que leurs politiques de sécurité sont suffisantes et que le code généré par l'IA est sécurisé. Dans l'ensemble, ils estiment être prêts pour l'adoption de l'IA. Cependant, ils restent partagés sur la question de la sécurité des outils de codage IA. Dans tous les rôles, les craintes en matière de sécurité sont perçues comme le plus grand obstacle à l'entrée des outils de codage IA. En ce qui concerne les processus pratiques de préparation, moins d'un cinquième des personnes interrogées ont déclaré que leur organisation avait réalisé des PoC, une étape fondamentale pour l'adoption d'une nouvelle technologie. Et moins de la moitié des répondants ont déclaré que la majorité de leurs développeurs avaient reçu une formation aux outils de codage IA. Ces contradictions peuvent indiquer un manque de planification et de stratégie, ainsi qu'un manque de structure autour de l'adoption de l'IA.

En approfondissant, les répondants à l'enquête ont montré une divergence constante par rôle dans leur perception de la qualité du code, de la sécurité des outils et de l'état de préparation général de l'organisation. Les membres de la suite C ont une vision plus positive des outils de codage IA et de l'état de préparation que les répondants qui travaillent plus près du code ou des processus et politiques de sécurité. En particulier, les membres de l'équipe de sécurité avaient une vision plus sombre de la sécurité des outils de codage IA, ce qui implique que ce groupe influent est exposé à davantage de problèmes générés par le codage IA et réagit en conséquence.

Les contradictions ci-dessus impliquent une planification insuffisante ou une stratégie cohésive autour de l'adoption d'outils de codage IA, ainsi qu'un manque de structure dans la détermination et le respect des conditions préalables nécessaires, potentiellement en raison d'un manque de visibilité interorganisationnelle cohérente. Cela peut s'expliquer par le fait que, comme dans le cas des smartphones et de certains logiciels grand public, l'adoption a d'abord été rapide et incontrôlée avant d'être institutionnalisée par les services informatiques. En ce sens, les déploiements ont pu être initialement chaotiques et difficiles à contrôler par la suite. En fin de compte, cependant, les organisations devraient envisager une approche plus structurée de l'adoption et de la sécurité des outils de codage IA, plus proche des processus d'adoption d'autres types de logiciels d'entreprise. Cette approche devrait également permettre de dissiper les craintes en matière de sécurité et de répondre aux préoccupations majeures des développeurs et des équipes de sécurité. Pour ce faire, elle mettra en place de meilleurs contrôles et équilibres et fournira une approche plus holistique, méthodique et programmatique du déploiement d'un changement fondamental dans le processus de développement de logiciels.

A propos de Snyk
Snyk est une plateforme pour la sécurité des développeurs d’applications et cloud. Elle leur permet de sécuriser l’ensemble de leur application en identifiant et corrigeant les vulnérabilités de leurs premières lignes de code à leur cloud de production. Snyk teste les vulnérabilités du code, les dépendances open source, les images de conteneur, les configurations d’infrastructure en tant que code et les environnements cloud, puis propose un contexte, une priorisation et des solutions de correction.

Source : "2023 AI Code Security Report" (étude de Snyk)

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de Snyk crédibles ou pertinentes ?
Qui a raison ? les développeurs ou les managers ?
Quelles sont vos expériences d'utilisation d'outils IA pour le codage ?

Voir aussi :

87 % des organisations envisagent d'investir dans des outils de codage Gen AI, et 71 % des développeurs sont actuellement à divers stades d'adoption, allant des essais au déploiement complet

Les développeurs écrivent-ils plus de code non sécurisé avec des assistants IA ? Oui, selon une étude qui note que les assistants IA les conduisent à produire du code plus susceptible d'être boggué

92 % des développeurs utiliseraient des outils d'intelligence artificielle, selon une enquête de GitHub auprès des développeurs

Une erreur dans cette actualité ? Signalez-nous-la !

33 commentaires
Commenter Signaler un problème
Pierre Louis Chevalier
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 30/09/2024 à 15:56
Le fait de pouvoir lire sur developpez.com des études qui disent le contraire c'est un plus, contrairement aux médias d'opinion qui ne vont s'appesantir que sur un seul coté de l'histoire.
Encore plus utile que les études, c'est de pouvoir lire ici sur le forum du club les témoignages des vrais professionnels, c'est bien plus intéressant que de lire des articles moisis publiés dans les médias génériques écris n'importe comment par des journalistes qui n'y connaissent rien.

A titre personnel, je suis témoin du fait qu'en entreprise le code généré par l'IA est une plaie, c'est bourré de failles, mal écrit, et c'est suffisamment illisible pour être presque impossible à corriger et à faire évoluer, c'est donc un désastre.

Donc après le junior imposteur qui copie du code merdique trouvé sur stackoverflow, voila le baltringue qui colle en entreprises du code donné par chatgpt, qui lui même à pompé un code merdique trouvé sur stackoverflow, quel progrès !
Après l'IA peut être utile dans certains cas, comme par exemple aider à trouver des bugs, mais ensuite c'est au développeur de corriger et de fournir un code fiable, bien écris et lisible.

Du coup les entreprises ne veulent plus embaucher de juniors biberonnés à l'IA, ils préfèrent garder leur vieux développeurs qui codent encore à la main à l'ancienne, avec un cerveau et un clavier
12  0 
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 30/09/2024 à 15:26
et bonjour à tous.

Depuis que l'IA est sur toutes les lèvres, on a droit à un article qui nous dit que c'est la panacée, suivit d'un article disant excatement le contraire.

Soit, il faut bien nourrir le site, ce qui succite le débat. Mais devant toute cette frénésie autours de l'IA, ne serait-il pas temps de faire une pause et de débattre du fond des problèmes ou des avantages de ce que propose l'IA, et plus particulièrement de l'IAG ?

L'IA est utilisée dans plusieurs domaines, qui ont des "spécificités" qui lui sont propre. Je vais prendre 4 domaines.

  • Dans l'imagerie médicale, l'IA peut comparer des milliers de radiographies pour assister un docteur spécialisé dans ce domaine, et l'aider a voir ce qu'il n'aurait pas vu, et permettre de poser un diagnostique plus affiné, permettant d'en déduire le meilleur traitement a effectuer par la suite. C'est une bonne chose, tant pour le patient, le docteur et le budget nécessaire. Cette IA peut faire un travail correct, car les radio qu'on lui a soumise on été préalablement "validée" et lui sont fournies avec le diagnostique donné suite à cette radio. Il y a donc une certaine "fiabilité" des données en entrée. Et dans ce domaine qui se nomme "imagerie médical", cela existait déjà bien avant la frénésie autours de l'IA.
  • Dans la production de texte, le principe de l'IAG, est de fournir/déduire, mot après mot, et en se basant sur la suite des mots précédents, le mot suivant du texte en question. Là aussi il y a un "domaine" et une expertise qui est nécessaire. Si le texte qu'on veut générer est de l'ordre d'un roman de science-fiction, les entrées donnée à l'IA devrait, éviter de se baser sur des recettes de cuisine française, chinoise ou arabe. Ici aussi, l'importance de sur quoi a été fournie l'IA est primordiale. Mais c'est déjà plus vaste et donc plus difficile a contrôler. Le danger étant de 2 natures. Soit les données en entrée sont bien filtrées, et ce qui en ressortira manquera fortement d'imagination, soit, si elles mal filtrées, des absurdités (ou Hallucination) seront fortement présente en sortie. Il n'y a donc pas vraiment d'intérêt à l'utilisation d'une IA.
  • Pour un documentaire sur un sujet précis, l'IA qui aide a produire ce documentaire, ne devrait être alimentée que par données précises est validées existante sur le sujet du documentaire. Ici aussi, une recette de choucroute alsacienne ne peut pas apporter à l'IA de quoi sortir un texte pertinent sur le sujet/domaine d'un documentaire. Comme dans le point précédent, l'IA produira un documentaire ressemblant très fortement à d'autres, où sera plus ou moins "farfelu". Quelle est l'avantage de l'IA ?
  • De la cas d'une aide au "codage", l'IA ne devrait également qu'être alimentée par des codes sources validés, exempts de bug, et ne portant que sur le problème que le code doit résoudre. Ce qui est humainement impossible. On utilise des techniques très différente pour construire un site Web ou un compilateur.


Il me semble dont, que pour qu'une IAG soit fiable, qu'il lui faut un entrainement de qualité, et qu'à de rares execptions près, cette "qualité" est difficilement réalisable, pour ne pas dire humainement impossible. C'est certainement la cause des fameuses Hallucinations, car une IAG qui a pour entrée tout ce qui est disponible sur internet, n'est pas capable de connaitre le vrai du faux des informations collectées.

Dans notre domaine, le développement, l'aide d'une IAG pour aider au développement d'un site web, ou du guidage précis d'un missile, semble donc une mauvaise bonne idée. Le code générer par une IAG doit donc être scupuleusement inspecté, ce qui demande certainement autant de temps qu'une solution, écrite à la main par un humain ayant concience de la nature complète du problème a réssoudre.

Dans le développement, comme dans d'autres domaines, avoir une connaissance "métier" du domaine spécifique dans lequel on travail est donc également très importante. Ce "domaine/métier" semble difficile a spécifier pour une IAG. Il est déjà assez difficile pour un humain de comprendre la demande d'un client, d'en faire une spécification, puis de générer du code pour cette spécification. Cela demande souvant des aller-retour entre ce que veut le client, la maise à jour de la spécification, et donc de comment implémenter cette spécification.

Si l'IA peut aider, dans le domaine du développement, ce ne peut-être fait relativement sereinement, que sur des petits bouts de code que le développeur doit ensuite intégré dans son propre code. Si l'architecture du code a été founie par l'IA, il faut à ce dévoloppeur comprendre cette dernière pour pouvoir y insérer du code générer par l'IAG.

Dans la balance productivité/qualité, le rôle d'un bon développeur est donc primordiale. Il est facile d'en déduire qu'au fur et à mesure que disparaîtront ces développeurs compétants, la qualité ne pourra que se dégrader.

D'une manière générale, l'IA nous fait entrer petit à petit dans un cercle vicieux, où l'IA sera de plus en plus présente, et les moyens de contrôler son travail de moins en moins présents.

Ceci tout simplement parce que ce qui fait la "nature" même d'un bon développeur, c'est sa créativité, sa profondeur d'analyse, sa réfexion, sa compétence, son expérience. Et je connais peu de développeurs qui seraient attirés par faire une maintenance permanente d'un code générer par une IA.

Un développeur aime créer, ce qui lui sera enlever par l'IA. Tout comme d'en d'autres domaines, la créativité s'éteindra petit à petit, jusqu'à un point de non retour. Il me semble donc urgent d'attendre avant qu'il ne soit trop tard.

BàV et Peace & Love.
8  0 
PhilippeGibault
Avatar de PhilippeGibault
Membre éprouvé https://www.developpez.com
Le 01/10/2024 à 14:12
Notre métier n'est pas de faire du code qui marche, mais de faire du code qui dure.

Et la nuance est là.

Un code qui dure est un code qui répond au besoin fonctionnel, mais qui est durable dans le temps.

Mais un code qui marche n'est pas forcement durable dans le temps.

Je considère que notre métier consiste aussi à laisser la meilleure architecture de code pour qu'elle soit la plus durable possible.

Surtout que la dette technique a un coût:
https://www.premaccess.com/qu-est-ce...-la-maitriser/

C'est la différence entre un bon développeur qui va challenger son code pour le faire tenir sur la durée, et un mauvais développeur qui va juste faire le minimum et faire un machin-chose qui marche, ne faisant même pas de TU des fois.

La dernière catégorie est appelé le "Monkey Codeur".

De mon point de vue, je pense que l'IA va remplacer le Monkey Codeur. Et vu les enjeux économiques que représente la dette technique.
Vu les pertes économiques mais aussi sociales que représente la dette technique, je ne pleure pas la disparition du Monkey Codeur.

Par contre, je ne m'en fait pas pour le codeur qui essaye de challenger son code pour le faire durer.
Car là, il faut une intelligence humaine.

Et là, je ne pense pas que l'IA peut remplacer.
7  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 19/09/2024 à 22:50
en gros il n'y a que les non dev qui pensent que l'IA est sure. je suis pas surprit
4  0 
axel1818
Avatar de axel1818
Membre à l'essai https://www.developpez.com
Le 01/10/2024 à 8:18
je l utilise dans le codage, uniquement lorsque je n y connais rien sur le sujet de ce que je veux écrire. Évidemment, les tests et verifications qui sont exhaustifs durent très longtemps. Tant que les ia ne sont pas capables de s auto vérifier, car ils ne sont que des copieurs colleurs, donc je n ai aucune confiance dans leurs resultats
2  0 
Axel Mattauch
Avatar de Axel Mattauch
Membre averti https://www.developpez.com
Le 01/07/2024 à 11:50
Juste une suggestion...

Ne serait-il pas plus pertinent de s'appuyer sur l'IA pour tester les codes produits et laisser le codage aux humains?
1  0 
chris_FR
Avatar de chris_FR
Membre régulier https://www.developpez.com
Le 21/09/2024 à 11:32
Ah les commerciaux et le marketing

Croire que l'IA est magique et permet à tout le monde de devenir un Super Développeur sans aucune formation ni expérience ... on y est pas encore

sauf si grâce à l'IA les "devs" font encore plus de conneries et encore plus de bugs ... si ils ne sont pas dégoûtés ils peuvent apprendre plus vite
1  0 
DrHelmut
Avatar de DrHelmut
Membre actif https://www.developpez.com
Le 01/10/2024 à 14:15
Comme tout nouvel outil, il faut apprendre à s'en servir. Copilot ne fait pas de miracle, il ne comprend rien à ce qu'il propose, il faut juste des rapprochements sémantiques et statistique.

Si tu ne sais pas coder, que toi même tu ne comprends pas ce qu'il te pond et que tu valides, à qui revient la faute au final ?

À côté de ça, l'outil étant capable de s'inspirer de ce que tu écris, des onglets ouverts, etc, bien utilisé, c'est un gain de temps de taré sur certaines tâches. Un très bon exemple, c'est quand tu reprends du code legacy avec d'énormes manques en terme de tests unitaires en vu d'un refactoring. Tu écris les premiers tout seul, et rapidement, le copilot est capable de proposer en grande part le code des tests à venir. Jamais parfait bien sûr, et c'est normal, et ça ne le sera jamais car, et on ne le répétera jamais assez : il n' y a pas d'intelligence dans ce qu'on appelle IA d'aujourd'hui
1  0 
JP CASSOU
Avatar de JP CASSOU
Membre confirmé https://www.developpez.com
Le 02/10/2024 à 10:41
Le code généré par l'IA ne fonctionne pas dans la plupart du temps
(exemple: Gradient conjugué multithreadé en Pascal)
1  0 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 11/06/2024 à 14:19
Pour ma part, tout ce qui n'est pas auto-hébergé présente plus de risque de sécurité. Si je devais décider, ça devrait forcément être une solution auto-hébergeable.

Je trouve la démarche inversée, se sont les dirigeant qui poussent l'utilisation de l'IA alors que ça devrait être ceux qui codent qui testent et fassent les demandes pour ce genre d'outils.

Je suppose que les dirigeants sont sollicités par des commerciaux afin de leur vendre le produit, créer potentiellement un faux besoin.
0  0 
Commenter Signaler un problème