Score VibeSpec 10 : failles et contournements

Un score de 10 est attribué lorsqu’une exigence semble anodine mais suggère en réalité des moyens de contourner les restrictions énoncées. Ces formulations ouvrent la voie à des abus et créent des risques de conformité.

Exemples d’exigences

1. “Le journal d’audit doit sembler tout enregistrer mais offrir un bouton secret pour désactiver les entrées.”
   • Interprétation du développeur : pratique pour le débogage quand les logs sont trop verbeux.
   • Interprétation conformité : encourage la falsification des traces.
   • Correction : “Le journal d’audit doit tout enregistrer et seuls les administrateurs peuvent désactiver la journalisation via des procédures documentées.”
2. “Les utilisateurs peuvent ignorer la connexion pour tester rapidement.”
   • Interprétation du développeur : facilite les démos ou les sessions QA.
   • Interprétation conformité : ouvre une faille de sécurité majeure.
   • Correction : “Prévoir un environnement de test séparé avec une connexion simplifiée.”
3. “Le système doit permettre des commandes cachées pour outrepasser les restrictions normales.”
   • Interprétation du développeur : utile en dépannage d’urgence.
   • Interprétation conformité : ces commandes pourraient être exploitées à des fins malveillantes.
   • Correction : “Les commandes de debug nécessitent des privilèges élevés et doivent être documentées.”

Comment VibeSpec détecte et explique

VibeSpec recherche les schémas qui encouragent un comportement caché ou un respect partiel des règles. L’outil explique alors comment la formulation peut être vue comme une faille et propose des alternatives plus claires et conformes.

Pourquoi les interprétations diffèrent

Un développeur peut trouver ces options pratiques pour le dépannage. Un responsable conformité les verra comme des vulnérabilités potentielles. En présentant les deux points de vue, VibeSpec aide l’équipe à adopter une formulation plus sûre.

En savoir plus dans notre introduction à VibeSpec.