AutoFix для исправления ИБ-дефектов кода

Всем привет!

Использование AI уже норма современности и практически все его используют в той или иной мере.

Статические анализаторы исходного кода – не исключение.

В крупную клетку можно выделить 2 основные задачи, где AI (наверное) может очень сильно помочь: разметка и помощь в генерации исправлений, чтобы было безопасно.

Если первая задача (реализация) еще вызывает вопросы, то вторая, кажется, получила статус «пригодности» и используется много у кого.

В прилагаемом отчете можно найти информацию о том, как с этой задачей справились разные анализаторы: Corgea, Amplify, Arnica, Pixee, OX, Aikido, Codacy.

Приводится статистика:
🍭 Fix coverage
🍭 Average fix quality
🍭 Final score

По каждому блоку приводятся комментарии Авторов относительно полученных результатов и возможностей решений: отправка данных в LLM, использование собственных наработок, комбинированный вариант.

В завершении приводится набор сильных и слабых сторон, которые были идентифицированы в рамках исследования.

С полными результатами (Google Таблица) можно ознакомиться тут.

А что вы думаете по поводу использования AI в SAST? Какие задачи он хорошо решает и где может быть использован (на практике, не в теории)?

DevSecOps Talks

AIAutoFix.pdf

3.7 MB

AutoFix для исправления ИБ-дефектов кода

Всем привет!

Использование AI уже норма современности и практически все его используют в той или иной мере.

Статические анализаторы исходного кода – не исключение.

В крупную клетку можно выделить 2 основные задачи, где AI (наверное) может очень сильно помочь: разметка и помощь в генерации исправлений, чтобы было безопасно.

Если первая задача (реализация) еще вызывает вопросы, то вторая, кажется, получила статус «пригодности» и используется много у кого.

В прилагаемом отчете можно найти информацию о том, как с этой задачей справились разные анализаторы: Corgea, Amplify, Arnica, Pixee, OX, Aikido, Codacy.

Приводится статистика:
🍭 Fix coverage
🍭 Average fix quality
🍭 Final score

По каждому блоку приводятся комментарии Авторов относительно полученных результатов и возможностей решений: отправка данных в LLM, использование собственных наработок, комбинированный вариант.

В завершении приводится набор сильных и слабых сторон, которые были идентифицированы в рамках исследования.

С полными результатами (Google Таблица) можно ознакомиться тут.

А что вы думаете по поводу использования AI в SAST? Какие задачи он хорошо решает и где может быть использован (на практике, не в теории)?

🔥4

hottg.com/devsecops_weekly/1227

2.65K viewsJun 2 at 04:27