Не хочу приховувати, що саме ваше відео (ось це www.youtube.com/watch?v=ArQYOn1glcA), де ви розказуєте за issue і якби між іншим кидаєте фразу «...AI задетектив це але...» породило в мені питання — якщо хтось це вже використовує і це є корисно, чому б нам не зробити щось подібне?..
Дякую за ютуб контент! Я б завітав на хакатон!
Для чого?
Щоб зміни у коді подивився ваш колега, а також AI.
Я не кажу, що це ревʼю замінить ревʼю від девелопера. Ні.
Це як погляд з боку, щось що може виявити очевидні речі (інколи і не дуже очевидні) одразу, зекономивши людино-години.
..Закомічені ключі мають виявляти статичні аналізатори коду...
У нас працює GitLeaks сканер, є Sonarqube. Але вони значно слабші за GPT, я перевіряв.
AI використовує «інтелект» в той час, як аналізатори базуються на regex і wildcards.
В цілому — дякую за точку зору, конструктивно )
Як ваш Information Security ставиться до того, що робочий код відправляється в OpenAI?
Нормально ставиться.
Я в тексті зазначав що ми не відправляємо на OpenAI.
Ми використовуємо Azure OpenAI deployments. Microsoft багато разів зваляли що вони не будуть зберігати код або використовувати для навчання. Віримо :)
Взагалі це філософські питання... чи використовувати Copilot (або інших асистентів) через страх що код може бути відісланий третім компаніям? Чи використовувати взагалі AI в роботі, бо при наданні контексту ти так чи інакше передаєш інфу. Кожна компанія обирає для себе, ми не параноїмо і не відмовляємось від нових можливостей.
Чи знають про такі практики ваші клієнти?
Якщо Ви про кастомера — так, звісно! Я робив їм демо.
Але по суті «клієнти» ДевОпс-ів — це девелопери :). Їм подобається.
Цікава думка з md, мені подобається. Я планую у нас релізити v2.0 цієї тули, є список features які варто зробити, додам це в ліст!
Також багато чого пробував додавати в prompt, але не завжди збільшення контексту веде до покращення ревʼю...
Поки основний напрямок покращень — це виключення непотрібного із того що передається на аналіз: типу lock файлів, видалення/переміщення файлів і т.д. Методом ітеративного тестування (на однакових code changes) буду підбирати оптимальний сетап.
Звісно чув! Але як каже народна мудрість «Боятись галюцинацій — AI не використовувати»
Базуючись на промті що я надаю — галюцинація AI дуже малоймовірна (хоча і можлива, я ж не можу дати гарантій), однак поки «брєд» не зустрічався.
До того ж AI review робить **коментар** в code change request, він не вносить зміни в код і не робить апрув. Що станеться якщо ви теоретично побачите в коментарі щось дивне? Це при, тому що ризик отримати шкідливу вигадку насправді дуже малий.