Ce document décrit les commandes qui assurent la sécurité de Gemini Code Assist. Ces commandes peuvent également vous aider à respecter les exigences de confidentialité et réglementaires qui s'appliquent à votre entreprise.
La sécurité, la confidentialité et la conformité des services Google Cloud sont une responsabilité partagée. Par exemple, Google sécurise l'infrastructure sur laquelle s'exécutent les services Google Cloud et vous fournit des outils tels que des contrôles d'accès pour vous permettre de gérer les personnes autorisées à accéder à vos services et ressources. Pour en savoir plus sur la façon dont nous sécurisons l'infrastructure, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.
Architecture de Gemini Code Assist
Le diagramme suivant montre les composants de l'architecture Gemini Code Assist.
Les composants comprennent les éléments suivants:
- Dans votre environnement sur site, vos développeurs d'applications installent l'extension Gemini Code Assist pour Visual Studio ou JetBrains. Les développeurs peuvent utiliser cette extension pour interagir avec Gemini Code Assist.
- Par défaut, l'extension utilise une connexion TLS chiffrée sur Internet pour se connecter à Google Cloud depuis votre environnement sur site. Pour créer une connexion sécurisée dédiée entre votre environnement sur site et Google Cloud, vous pouvez configurer Cloud VPN ou Cloud Interconnect.
- Dans votre environnement Google Cloud, vous pouvez configurer un périmètre de service VPC Service Controls. VPC Service Controls vous permet de définir des règles de sécurité qui empêchent l'accès aux services gérés par Google en dehors d'un périmètre approuvé, de bloquer l'accès aux données depuis des emplacements non approuvés et de limiter les risques d'exfiltration des données.
- Votre projet Google Cloud dans lequel vous avez activé le service Gemini Code Assist. Gemini Code Assist utilise l'API Gemini pour Google Cloud pour traiter les conversations. L'API Gemini pour Google Cloud n'a accès à aucune des autres API ni ressources de votre projet.
Si votre organisation utilise des stations de travail Cloud, les développeurs peuvent également interagir avec Gemini Code Assist dans leurs stations de travail. Pour en savoir plus, consultez Écrire du code avec Gemini Code Assist.
Contrairement à la plupart des API Google Cloud, l'API Gemini pour Google Cloud est une API développée uniquement pour les clients fournis par Google. Cette API permet à ces clients d'accéder aux LLM sans état qui alimentent Gemini Code Assist. Ces instances LLM sont partagées par tous les clients Google qui activent l'API Gemini pour Google Cloud.
Contrôles de sécurité du déploiement
Cette section décrit certains des contrôles de sécurité de Gemini Code Assist sur Google Cloud.
Authentification
Gemini Code Assist exige que les développeurs de votre application s'authentifient auprès de Google Cloud pour valider leur identité et leurs droits d'accès. Vous devez configurer un compte utilisateur géré pour chaque développeur par Cloud Identity, Google Workspace ou un fournisseur d'identité que vous avez fédéré avec Cloud Identity ou Google Workspace. Pour en savoir plus, consultez la page Présentation de la gestion de l'authentification et des accès.
Une fois les comptes créés, tenez compte des bonnes pratiques de sécurité suivantes:
- Activez le sso lorsque vous vous authentifiez avec des fournisseurs d'identité externes.
- Utilisez la validation en deux étapes pour protéger les utilisateurs contre le vol de mots de passe.
- Appliquez et contrôlez les exigences relatives aux mots de passe.
Contrôle des accès
Vous pouvez utiliser Identity and Access Management (IAM) pour contrôler l'accès des développeurs d'applications à Gemini Code Assist. Pour gérer les rôles IAM à grande échelle, nous vous recommandons de créer un groupe pour vos développeurs d'applications et d'accorder à ce groupe les rôles ou autorisations IAM requis pour Gemini Code Assist. Nous vous déconseillons d'attribuer des rôles IAM à des utilisateurs individuels, car les attributions individuelles peuvent augmenter la complexité de la gestion et de l'audit des rôles.
Lorsque vous attribuez des rôles à votre groupe de développeurs d'applications, assurez-vous de respecter le principe du moindre privilège et les autres bonnes pratiques de sécurité IAM.
Utilisez les processus de votre fournisseur d'identité existant pour la création et la souscription de groupes. Pour en savoir plus sur la configuration d'IAM, consultez la présentation d'IAM.
Pour en savoir plus sur les rôles IAM requis pour Gemini Code Assist, consultez la section Configurer Gemini Code Assist pour un projet. Pour en savoir plus sur les autorisations minimales requises par les développeurs de votre application, consultez la section Tâches de configuration avancées.
Pour auditer les activités d'administration et d'accès, consultez Gemini pour Google Cloud.
Sécurité du réseau
Par défaut, Google applique des protections aux données en transit pour tous les services Google Cloud, y compris Gemini Code Assist.
La connexion principale est celle entre les stations de travail de votre développeur d'applications et Google Front End (GFE). GFE est notre système distribué dans le monde entier qui achemine le trafic entre le réseau Google et le monde extérieur. Gemini Code Assist utilise cette connexion pour recevoir et répondre aux requêtes des développeurs. Par défaut, cette connexion est protégée à l'aide de TLS. Pour en savoir plus sur les protections réseau par défaut, consultez la section Chiffrement en transit.
Si votre organisation l'exige, vous pouvez configurer des contrôles de sécurité supplémentaires pour mieux protéger le trafic sur le réseau Google Cloud et le trafic entre le réseau Google Cloud et votre réseau d'entreprise.
Réfléchissez aux éléments suivants :
- Utilisez Cloud VPN ou Cloud Interconnect pour maximiser la sécurité et la fiabilité de la connexion entre votre réseau d'entreprise et Google Cloud. Pour en savoir plus, consultez la page Choisir un produit de connectivité réseau.
Utilisez VPC Service Controls. VPC Service Controls vous permet de contrôler le déplacement des données dans les services Google et de configurer une sécurité périmétrique basée sur le contexte. Pour en savoir plus sur la configuration de VPC Service Controls, consultez la page Configurer VPC Service Controls pour Gemini.
Dans Google Cloud, choisissez le réseau VPC partagé comme topologie réseau. Le VPC partagé offre une gestion centralisée de la configuration du réseau tout en conservant la séparation des environnements. Pour en savoir plus sur les topologies réseau, consultez la section Choisir une conception réseau pour votre zone de destination Google Cloud.
Pour en savoir plus sur les bonnes pratiques de sécurité réseau, consultez les pages Sécuriser votre réseau et Choisir la conception de réseau pour votre zone de destination Google Cloud.
Protection et confidentialité des données
Cette section décrit comment Gemini Code Assist et les extensions protègent vos données et votre confidentialité.
Données client
Les données client sont définies dans les Conditions d'utilisation de Google Cloud. Pour en savoir plus sur la façon dont nous traitons et protégeons les Données client, consultez l'Avenant relatif au traitement des données dans le cloud (Clients).
Par exemple, Gemini Code Assist et les extensions transmettent les données client suivantes:
- Données de requête, y compris les requêtes des développeurs
- Données de réponse de Gemini Code Assist
- Contexte supplémentaire, tel que l'historique de conversation actuel, des extraits de fichiers ouverts dans l'IDE, des extraits de fichiers stockés à côté du fichier ouvert et l'emplacement du curseur dans le fichier actuel
Étant donné que Gemini Code Assist est un service Google Cloud sans état, il ne stocke pas les invites et les réponses dans Google Cloud. Si nécessaire, vous pouvez configurer Gemini Code Assist pour stocker les entrées et les réponses des utilisateurs dans un bucket Cloud Logging. Pour en savoir plus, consultez la section Afficher les journaux Gemini. Pour surveiller l'utilisation de Gemini Code Assist, consultez Surveiller l'utilisation de Gemini pour Google Cloud.
Pour en savoir plus sur la façon dont Google Cloud chiffre les données au repos, consultez la page Chiffrement au repos par défaut.
Données de service
Les données de service sont définies dans l'Avis de confidentialité de Google Cloud.
Voici quelques exemples de données de service collectées par Gemini Code Assist:
- Données analytiques sur les utilisateurs (données sur les actions du développeur)
- Données de télémétrie
- Commentaires Google
Les données de télémétrie incluent des données qui décrivent le fonctionnement technique du produit. Voici quelques exemples de données de télémétrie:
- Événement indiquant qu'une requête a été effectuée (mais pas le contenu de la requête)
- Événement indiquant qu'une réponse a été reçue (mais pas le contenu de la réponse)
- Réaction de l'utilisateur à la réponse (par exemple, si l'utilisateur a accepté ou refusé la réponse)
- Nombre de caractères des suggestions acceptées
- Interaction d'un utilisateur avec divers éléments d'interface utilisateur
Les ingénieurs Gemini Code Assist ont accès aux données de télémétrie pour améliorer continuellement le produit.
Vous pouvez personnaliser les informations que vous choisissez d'inclure dans votre formulaire de commentaires Google (y compris le choix de partager ou de ne pas partager des journaux spécifiques). Pour afficher l'historique de vos commentaires, consultez Vos rapports sur les commentaires.
Emplacement du traitement des données
Gemini Code Assist utilise le réseau Google Edge mondial pour recevoir des données à traiter. En règle générale, le traitement se produit dans le centre de données le plus proche de l'origine géographique de la requête, mais la régionalité n'est pas garantie.
Confidentialité des données
Pour protéger la confidentialité de vos données, Gemini Code Assist respecte l'engagement de Google en matière de confidentialité grâce aux technologies d'IA générative. Cet engagement comprend des éléments tels que les suivants:
- Google n'utilise pas vos données pour entraîner nos modèles sans votre autorisation.
- Nous intégrons des principes de confidentialité au développement de Gemini Code Assist, comme ceux décrits dans les principes de confidentialité courants.
Pour en savoir plus sur nos principes concernant l'IA, consultez les principes de Google concernant l'IA.
Gemini Code Assist agit en tant que sous-traitant des données pour toutes les données client (par exemple, lors de la personnalisation des expériences et des recommandations), du dépannage et de la maintenance du service. Google agit également en tant que responsable du traitement des données pour des informations telles que la facturation, la gestion des comptes et la détection des utilisations abusives. Pour en savoir plus, consultez l'Avis de confidentialité de Google Cloud.
Certifications
Gemini Code Assist a reçu les certifications suivantes:
Pour en savoir plus sur la conformité de Google Cloud avec différents cadres réglementaires et certifications, consultez le Centre de ressources sur la conformité.
Utiliser Gemini Code Assist de manière sécurisée
En général, Google recommande d'utiliser un cycle de développement logiciel (SDLC, software development life cycle) sécurisé pour le développement d'applications, que vous utilisiez ou non l'assistance au codage par IA. Pour en savoir plus sur les bonnes pratiques du cycle de développement logiciel, consultez la section Qu'est-ce que DevOps ? Recherche et solutions et SLSA.
Gemini Code Assist est un service indemnisé par l'IA générative. Si vous recevez une contestation pour des raisons de droits d'auteur après avoir utilisé du contenu généré par Gemini Code Assist, nous assumons une certaine responsabilité pour les éventuels risques juridiques encourus. Pour en savoir plus sur l'indemnité, consultez nos Conditions spécifiques du service ou notre article de blog sur ce sujet.
Étape suivante
En savoir plus sur l'IA générative, la confidentialité et Google Cloud (PDF)