Тезисы

При внедрении DevSecOps-практик многие сталкиваются с такими проблемами:
* выявленных уязвимостей больше, чем команда может исправить;
* высокий false positive rate статического анализатора;
* у команды продукта не хватает знаний и компетенций для исправления уязвимости, она не понимает, что требуется сделать;
* нехватка инженеров ИБ на рынке, которые могли бы сопровождать команды и улучшать качество работы анализаторов;
* текучка кадров и динамичность технологического стека — мы не успеваем учить всех принципам безопасной разработки.

В докладе расскажем о том, как создавали и внедряли решение для помощи разработчикам в устранении уязвимостей и недостатков в коде с использованием технологий ИИ. Поделимся результатами сравнения коммерческих и Open Source-моделей, различными трюками для улучшения качества, тестирования, обогащения данных. Покажем примеры работы и общую архитектуру решения.

Наш ассистент умеет:
* объяснять суть уязвимости, предлагать векторы атаки (важность конкретного кейса);
* предлагать варианты исправления в коде через GitLab и/или IDE;
* выявлять False Positive-результаты работы SAST;
* собирать обратную связь для улучшения качества работы;
* использовать внутреннюю базу знаний для принятия решений.