Новости компаний рынка безопасности / Газинформсервис /
Алексей
Старожил
Сообщений: 756
Рейтинг:
07.02.2025 11:36:27
В начале 2025 года, когда каждый день появляются новые приложения и миллионы строк кода, зарубежные аналитики обратили внимание на быстрые и безопасные методы разработки. На сцену выходит статическое тестирование безопасности приложений (SAST), которое играет важную роль в выявлении уязвимости в исходном коде приложения до его запуска. Однако традиционные SAST-системы страдают от ложнопозитивных срабатываний, снижающих эффективность и отнимающих время разработчиков. Исследователи подчёркивают растущую роль искусственного интеллекта (ИИ) в улучшении точности SAST, что позволит разработчикам сосредоточиться на реальных угрозах безопасности.
Именно поэтому «Газинформсервис» уже сейчас работает над внедрением машинного обучения (ML-кода) для SafeERP, многофункционального комплекса защиты бизнес-приложений (1С и SAP), чтобы повысить точность SAST и обеспечить безопасность ERP-систем без лишних проверок.
Эксперт компании «Газинформсервис», специалист по внедрению SafeERP Роман Шарапов, отмечает: «Ложные срабатывания в SAST-анализаторах случаются по разным причинам. Например, анализаторы могут не понимать контекст, в котором используется код, или работать только по жёстким правилам, которые не учитывают уникальность проекта. Также часто проблемы возникают из-за устаревших баз правил или особенностей библиотек, которые инструмент не распознаёт. Всё это приводит к тому, что безопасный код помечается как уязвимый».
При такого рода «багах» тратится много времени на проверку не уязвимого кода. Исправление ложнопозитивных уязвимостей может привести к реальным уязвимостям при недостаточной компетенции разработчиков. Большое количество ложнопозитивных срабатываний снижает доверие к инструменту, а также может привести к тому, что важные уязвимости просто пропустят. Как результат — дополнительные риски и затраты для команды.