ИИ-плагин Solar appScreener – техника года с точки зрения экспертов премии «AI-Олимп»

Всем привет!
На связи снова Solar appSrceneer с хорошими новостями. 27 мая мы узнали, что наш ИИ-плагин победил в номинации «Технология кода». Премия «AI-Олимп» посвящена передовым достижениям в области искусственного интеллекта, объединяет ведущие компании, инновационные стартапы, исследовательские центры и экспертов, которые формируют будущее ИИ.

Мы благодарим за высокую оценку нашего продукта всех членов жюри, в состав которого вошли титаны эксперты по ИИ, IT и разработке государственной корпорации «Ростехнологии», компаний McKinsey, VK, ассоциации «Руссофт» и других организаций.

Для всей нашей команды статус «Технология года» — это значимый знак признания со стороны профессионального сообщества. ИИ-плагин не родился из морской пены, как богиня Афродита, хотя довольно может сразиться за яблоко титул «Прекраснейшей».

ИИ-плагин стал результатом семилетнего проекта технологического партнера по обучению большой языковой модели на базе десятков тысяч реальных российских и международных проектов. Он может быть развернут в закрытом контуре, работает без доступа в интернет, что минимизирует риски утечек данных во внешние сервисы, платформы для обмена кодом и неожиданную диверсию со стороны ИИ-троянских коней.

Если вспомнить миф про Артемиду и Аполлона, то они символизируют две стороны одного целого – светлое, рациональное начало (безопасную разработку) и первозданную, дикую природу (уязвимости). Они дополняли и усиливали лучшие качества другу друга, и аналогично в ИИ-плагине две технологии усиливают эффективность процессов AppSec.

Интеллектуальный триаж SAST-результатов DerTriage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Точность автоматической верификации уязвимостей составляет 95%. Расширение также настраивается под требования разработчика ПО, даёт возможность применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Итак, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в сотни раз ускоряет устранение уязвимостей, поддерживая производительность команды разработки без ущерба для безопасности софтверного продукта.

ИИ-технология автоматического исправления уязвимостей DerCodeFix предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются согласно принятыми стандартами кодирования, что обеспечивает читабельность, эффективность кода и решает проблемы безопасности. Каждое исправление содержит подробное объяснение того, что и почему было изменено. Разработчик может быть уверен в корректной проверке кода и получает дополнительный ресурс данных для обучения.

Как показали информация исследования шести больших языковых моделей на десятках проектах, созданных на языках Java и Python, модель DerTriage/DerCodeFix демонстрирует более 90% точности на этапе верификации (триаж) и до 85% на этапе исправления уязвимостей (кодфикс). При этом публичные LLM, которые часто используются для этапов триажа и кодфикса, пропускают от 40 до 50% уязвимостей. Охота на уязвимости с со стрелами Артемиды возможностями ИИ-плагина определенно будет успешной.

«Результаты сканирований обрабатываются за несколько минут даже для проектов с миллионами строк кода, а не недель, как это было ранее. Соответственно ускоряется и выпуск любого программного продукта, при этом сохраняется высокий уровень безопасности разрабатываемого ПО», − подчеркивает Владимир Высоцкий, руководитель развития бизнеса платформы комплексной безопасности приложений Solar appScreener.

Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности от олимпийского громовержца от регуляторов рынка, в том числе ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.