Trepan : Auditeur de sécurité local VS Code pour le code généré par l'IA

Trepan est une extension pour VS Code qui traite la 'Dette de Sécurité Silencieuse de l'IA'—les vulnérabilités dans le code suggéré par l'IA qui passent la compilation mais manquent de contexte de sécurité architecturale. Il agit comme un gardien de sécurité local entre les assistants de codage IA et votre base de code.

Comment Trepan Fonctionne

L'outil utilise une approche Zéro-Baseline pour auditer les suggestions d'IA par rapport aux règles de sécurité locales. Il ne devine pas simplement ; il applique des politiques basées sur un fichier .trepan/system_rules.md dans votre projet.

• 100% Local Uniquement : Utilise Ollama pour exécuter des audits de sécurité sur votre machine sans fuite de code vers des API externes
• Validation Déterministe : Force le LLM local à valider le code suggéré par rapport à vos contraintes de sécurité spécifiques avant acceptation
• Conscient du Contexte : Lit les règles spécifiques au projet pour détecter les défauts logiques spécifiques que les analyseurs génériques manquent

Ce que Trepan Détecte

L'outil est spécifiquement réglé pour trouver les hallucinations qui contournent l'analyse statique standard :

• Points de terminaison API non sécurisés suggérés par l'IA
• Vulnérabilités DOM XSS silencieuses dans la logique frontend
• Secrets codés en dur ou portes dérobées 'pratiques' que l'IA pourrait halluciner

Détails Techniques

Trepan est open-source sous licence AGPLv3 et disponible sur le VS Code Marketplace. Le développeur expérimente avec différentes invites système pour la phase d'audit et recherche des retours sur la logique d'audit et l'ingénierie des invites.

Le développeur demande à la communauté son avis sur quels modèles locaux (Llama 3, Mistral, etc.) fonctionnent le mieux pour l'audit axé sur la sécurité sans latence excessive.