Revue de code et sécurité — L'IA comme second regard

L'IA comme premier filtre de revue

Dans les équipes qui utilisent bien l'IA, la revue de code fonctionne en deux temps.

Premier temps — l'IA : revue automatique sur des critères objectifs : lisibilité, patterns potentiellement problématiques, edge cases non gérés. L'IA ne se fatigue pas, n'a pas de biais de complaisance.

Deuxième temps — l'humain : la revue humaine se concentre sur ce que l'IA ne voit pas : cohérence avec la vision produit, décisions d'architecture, adéquation avec les pratiques d'équipe.

Le prompt de revue efficace

Voici ce code [coller]. Fais une revue critique sur :
1. Lisibilité et maintenabilité
2. Gestion des erreurs et edge cases
3. Performance évidente
4. Sécurité — cherche les patterns connus de vulnérabilités
5. Bonnes pratiques [langage]

Pour chaque problème : localise-le, explique pourquoi c'est un problème, propose une correction.

La sécurité — où l'IA est vraiment utile

Les LLMs ont été entraînés sur des millions de rapports de sécurité et CVEs. Ils reconnaissent les patterns classiques : injections SQL, XSS, gestion incorrecte des tokens, exposition d'informations dans les erreurs, race conditions.

Pour une revue de sécurité ciblée :

"Analyse ce code en te concentrant sur l'OWASP Top 10. Identifie précisément chaque vulnérabilité potentielle et explique comment la corriger."

Ce que l'IA ne voit pas

L'IA ne comprend pas votre contexte métier. Elle ne détecte pas les bugs logiques qui nécessitent une compréhension du domaine. La revue IA est un filtre, pas un remplacement.

Toujours anonymiser les données sensibles avant de soumettre du code à un LLM cloud.

Ce qu'il faut retenir

L'IA comme premier filtre avant la revue humaine. Prompts ciblés sur des dimensions précises. Excellent pour les patterns de sécurité connus. Pas fiable pour la logique métier. Anonymisez toujours les données sensibles.