DryRun Security for AI Coding

J'ai été brûlé trop de fois en fusionnant du code qui semblait correct jusqu'à ce qu'un pentester me signale quelque chose de stupide comme une injection SQL ou des secrets codés en dur. C'est pourquoi j'ai essayé DryRun Security for AI Coding. Il s'intègre à GitHub en tant qu'application, et honnêtement ? Il vérifie simplement chaque demande d'extraction sans me ralentir. Pas d'étapes supplémentaires, pas de configuration étrange : installez-le, pointez-le vers votre dépôt, et boum, il commence à signaler des modèles à risque.

Les bonnes choses

Ce qui a cliqué, c'est la façon dont il *expliquait* le risque au lieu de simplement dire « gravité élevée ». Comme une fois, j'ai transmis une entrée utilisateur directement dans une commande shell - ce n'est pas idéal. DryRun ne s'est pas contenté de crier « danger », il a déclaré « cela pourrait permettre à quelqu'un d'exécuter des commandes arbitraires sur votre serveur » et a même montré un correctif minimal. Ce genre de clarté est rare. Il gère également plusieurs langages - j'utilise Python et Express, et il a capturé des choses dans les deux. Les faux positifs sont bien inférieurs à ce que j’ai vu avec d’autres outils. Plus besoin de passer au crible 40 avertissements concernant des variables inutilisées lorsque le véritable problème est un jeton CSRF manquant.

Le moins bon

Ce n’est pas parfait. L'interface est simple - juste un commentaire GitHub avec une liste de problèmes. Pas de tableau de bord, pas de suivi de l'historique, rien à voir dans les dépôts. Si vous êtes habitué à SonarQube ou Snyk, cela ressemble à une version allégée. De plus, comme il est basé sur le Web et ne dispose pas d’application de bureau, vous ne pouvez pas l’exécuter localement. Et oui, ce n’est pas open source, donc je ne sais pas comment ils forment l’IA. C'est un peu troublant, mais je l'utilise depuis assez longtemps pour faire confiance au résultat. Pas idéal pour les équipes qui souhaitent des pistes d’audit approfondies ou des rapports de conformité.

Conclusion

Si vous êtes un développeur solo ou une petite équipe travaillant rapidement et que vous souhaitez simplement éviter les pièges de sécurité courants sans apprendre un tout nouveau système, DryRun Security for AI Coding for Web-apps est solide. L’essai est gratuit, fonctionne immédiatement et garde vos PR plus propres. Ignorez-le si vous avez besoin de rapports avancés ou d’une analyse locale. Mais pour détecter des erreurs stupides avant qu'elles n'atteignent la production ? Ouais, ça vaut les cinq minutes de mise en place.