«Т‑Банк» сообщил о создании ИИ‑ассистента по информационной безопасности под названием Safeliner. Решение значительно снижает нагрузку на разработчиков, благодаря оптимизации кода в экосистеме компании, умеет быстро реагировать на угрозы и не допускать появление уязвимостей в коде на этапе разработки.
«Использование ИИ‑ассистента Safeliner, по предварительным оценкам, поможет сэкономить Группе „Т‑Технологии“ более 1 млрд рублей в год. В будущем „Т‑Банк“ планирует открыть доступ к Safeliner другим компаниям на рынке. Несколько партнёров уже тестируют этот продукт», — рассказали в «Т‑Банке».
Проект Safeliner умеет:
анализировать отчёты инструментов статического анализа (SAST);
позволяет работать с любыми отчётами в формате SARIF — стандартном формате для обмена данными о результатах статического анализа кода;
отфильтровывает ложные срабатывания;
генерирует понятные разработчикам подсказки и описания проблем безопасности с помощью БЯМ (LLM);
предлагает варианты автоматического исправления уязвимостей с учётом корпоративной базы знаний;
занимается сбором обратной связи от разработчиков по найденным уязвимостям для дальнейшего анализа этой информации и ее использования для корректировки правил поиска и алгоритмов исправления уязвимостей.
Контекст Safeliner обогащается на основе множества связанных источников данных, таких как:
внутренняя база знаний;
индустриальные стандарты и рекомендации от сообществ (например, OWASP);
анализ графового представления кода (AST, DFG, CFG);
описание уязвимости из отчета SARIF;
разметка пользователя.
Внедрение ИИ‑ассистента Safeliner в «Т‑Банка» произошло в августе 2024 года. Проект применяется для внутренних задач компании. В результате внедрения Safeliner процессы поиска и исправления уязвимостей в «Т‑Банке» ускорились до 5 раз. ИИ‑ассистент создан в привычной для разработчиков среде GitLab и использует большую языковую модель для генерации подсказок, а также исправлений в коде — разработчику нужно лишь принять исправление. Все модели в рамках проекта Safeliner работают внутри корпоративного контура — внешние API и сторонние сервисы не используются.
«В условиях высокого спроса на опытных ИТ‑специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создаёт дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости ещё на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика», — пояснил вице‑президент, директор департамента информационной безопасности «Т‑Банка» Дмитрий Гадарь.
Источник: habr.com