При внедрении DevSecOps практик многие сталкиваются с такими проблемами:
- выявленных уязвимостей больше, чем команда может исправить
- высокий false positive rate статического анализатора
- у команды продукта не хватает знаний и компетенции для исправления уязвимости, она не понимает, что требуется сделать
- нехватка инженеров ИБ на рынке, которые могли бы сопровождать команды и улучшать качество работы анализаторов.
- текучка кадров и динамичность технологического стека - мы не успеваем учить всех принципам безопасной разработки.

В докладе мы расскажем о том, как создавали и внедряли решение для помощи разработчикам в устранении уязвимсотей и недостатков в коде с использованием технологий ИИ. Поделимся результатами сравнения коммерческих и OpenSource моделей, различными трюками для улучшения качества, тестирования, обогащения данных. Покажем примеры работы и общую архитектуру решения.

Наш ассистент умеет:
- Объяснять суть уязвимости, предлагать векторы атаки (важность конкретного кейса)
- Предлагать варианты исправления в коде через GitLab и/или IDE
- Выявлять False Positive результаты работы SAST
- Собирать обратную связь для улучшения качества работы
- Использовать внутреннюю базу знаний для принятия решений