Пилот, чтоб SAST «летел» в пять раз быстрее. Применение технологий ИИ для задач статического анализа кода

Пилот, чтоб SAST «летел» в пять раз быстрее. Применение технологий ИИ для задач статического анализа кода

Бизнес всё чаще начинает уделять внимание информационной безопасности, и компании неизбежно сталкиваются с ситуаций перегрузки ИБ-инженеров. Топ-менеджмент встает перед выбором: либо кратно увеличивать штат, либо пренебрегать безопасностью. И то и другое — дорого, поскольку найм редких специалистов затратен, а утечки данных могут привести к серьезным убыткам.

Сегодня бизнес, запустивший внедрение инструментов безопасной разработки и практику РБПО, ожидает сокращение рисков и времени на разработку в несколько раз. Однако быстро сталкивается с объективными трудностями. Внедрение SAST-инструментов не ускоряет разработку, а наоборот замедляет её, поскольку 80% срабатываний — ложные. Это показало исследование, которое провела команда AppSec Solutions на данных полутора десятков компаний-клиентов.

Статистика по автоматизации обработки результатов сканирований ПО в России улучшилась: в 2023 году такому разбору поддавалось лишь 35% срабатываний, в 2024 — уже 64%. Это значительно облегчает и ускоряет работу ИБ-команд. Без таких инструментов инженерам приходится тратить недели на разбор срабатываний, большинство из которых ложные.

Команда из 10 000 разработчиков при интенсивной нагрузке может обрабатывать до 1000 сканов по 1000 записей в сутки. В сумме мы получаем ежедневно до 1 млн записей, которые необходимо разобрать и определить, в каких случаях требуется личное участие квалифицированного ИБ-инженера, а в каких ошибки типичны или вовсе не существуют. Для команды из 10 специалистов по кибербезопасности это работа приблизительно на 200 дней. Впечатляющие цифры, не так ли? Если учесть, что 80% срабатываний ложные, можно считать, что это время потрачено напрасно, при том, что каждый ИБ-инженер на вес золота. 

Как сэкономить это время? Одно из решений — использовать искусственный интеллект. Мы разработали модуль AppSec.CoPilot. Это DevSecOps-помощник на основе ИИ, который в автоматическом режиме анализирует и сортирует уязвимости, определяя критические с точностью 96%. Он устраняет ложные срабатывания и сортирует уязвимости по критичности, позволяя команде сосредоточиться на самых серьезных недостатках кода и освобождая время инженеров для более важных задач.

Исследования команды AppSec Solutions на данных более 10 компаний показали, что применение ИИ-помощника сокращает время работы на 85%. Если в 2023 году обработка одной уязвимости занимала 26 дней, то сейчас — всего 1-2 дня, что позволяет сократить Time-to-Market более чем втрое.

Аналогов AppSec.CoPilot в России пока нет, поскольку мы обучали его конкретно под сканирование и приоритизацию уязвимостей. В отличие от крупных универсальных нейросетей, которые обладают широкой специализацией, наш инструмент создан и обучен именно для обеспечения информационной безопасности. Он легко встраивается в любой SAST и адаптируется на стороне заказчика. Модель защищена от лишней информации и обучаема на коде клиента, что позволяет эффективно внедрять ее в работу.

AppSec Solutions запустила AppSec.CoPilot осенью 2024 года. Изначально инструмент был «заточен» под финтех и защиту коммерческой тайны, но к настоящему моменту мы адаптировали его для удобной интеграции в работу промышленных компаний, будь то добывающая или обрабатывающая отрасли, где активы и секреты значительно отличаются от финансового сектора. Это особенно важно при решении проблем параллельного импорта и работы софта по управлению иностранным промышленным оборудованием, где каждое обновление ПО может привести к остановке процесса без возможности «восстановиться» из бэкапа.

До конца 2025 года мы планируем усовершенствовать модуль, добавив автоматическое закрытие уязвимостей, обучая его на исходном коде. Так AppSec.CoPilot сможет облегчать жизнь и ИБ-инженерам, и разработчикам, которым назначаются дефекты и тикеты по устранению подтвержденных уязвимостей.

Реклама. ООО «СВОРДФИШ СЕКЬЮРИТИ», ИНН: 7842496093, Erid: 2VfnxyEWH1i