Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Будущее анализатора кода: разработчики интегрируют в SafeERP машинное обучение

07/02/25

SafeERP_SAST_600х338_1

В начале 2025 года, когда каждый день появляются новые приложения и миллионы строк кода, зарубежные аналитики обратили внимание на быстрые и безопасные методы разработки. На сцену выходит статическое тестирование безопасности приложений (SAST), которое играет важную роль в выявлении уязвимости в исходном коде приложения до его запуска. Однако традиционные SAST-системы страдают от ложнопозитивных срабатываний, снижающих эффективность и отнимающих время
разработчиков. Исследователи подчёркивают растущую роль искусственного интеллекта (ИИ) в улучшении точности SAST, что позволит разработчикам сосредоточиться на реальных угрозах безопасности.


Именно поэтому «Газинформсервис» уже сейчас работает над внедрением машинного обучения (ML-кода) для SafeERP, многофункционального комплекса защиты бизнес- приложений (1С и SAP), чтобы повысить точность SAST и обеспечить безопасность ERP-систем без лишних проверок.


Эксперт компании «Газинформсервис», специалист по внедрению SafeERP Роман Шарапов, отмечает: «Ложные срабатывания в SAST-анализаторах случаются по разным причинам. Например, анализаторы могут не понимать контекст, в котором используется код, или работать только по жёстким правилам, которые не учитывают уникальность проекта. Также часто проблемы возникают из-за устаревших баз правил или особенностей библиотек, которые инструмент не распознаёт. Всё это приводит к тому, что безопасный код помечается как уязвимый».

При такого рода «багах» тратится много времени на проверку не уязвимого кода. Исправление ложнопозитивных уязвимостей может привести к реальным уязвимостям при недостаточной компетенции разработчиков. Большое количество ложнопозитивных срабатываний снижает доверие к инструменту, а также может привести к тому, что важные уязвимости просто пропустят. Как результат — дополнительные риски и затраты
для команды.


Эксперт отмечает: внедрение ИИ в статический анализатор кода SafeERP — это большой шаг в развитии статического анализа кода. Это позволит ИИ устранить ложнопозитивные срабатывания в SAST-анализаторах за счёт следующих возможностей:


Учёт контекста кода: ИИ анализирует, как конкретный участок кода взаимодействует с другими элементами проекта, и исключает ситуации, где предполагаемая угроза не представляет реальной опасности.


Адаптация к проекту: на основе данных конкретного проекта, ИИ обучается понимать особенности его структуры, используемых библиотек и стиля кодирования, снижая количество ошибочных предупреждений.


Исторический анализ: ИИ обрабатывает данные о предыдущих ложнопозитивных срабатываниях и использует эту информацию для повышения точности дальнейших проверок.


Семантический анализ: технология позволяет ИИ глубже понимать смысл кода и контекст его использования, что помогает отличать реальные угрозы от ложных.

Кластеризация предупреждений: ИИ объединяет схожие уведомления в группы, выделяя ключевые проблемы и упрощая анализ для разработчиков.

Темы:Пресс-релизОтрасльГазинформсервис
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"
    Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании
  • То, что мы делаем, реально работает
    Сергей Никитин, руководитель группы управления продуктами компании “Газинформсервис”
    Беседуем с Сергеем Никитиным, руководителем группы управления продуктами компании “Газинформсервис”, о том, как непросто заслужить доверие заказчиков, о важности синергии продуктов российских разработчиков и о том, почему термин “экосистема” не стоит применять к программам.
  • Решаем проблемы проверки цепочки квалифицированных сертификатов: опыт компании "Газинформсервис"
    Сергей Кирюшкин, к.т.н., ООО “Газинформсервис”
    Существуют спорные моменты для признания проверки действительности цепочки квалифицированных сертификатов корректной, но и есть и предложения по их решению
  • 8 принципов построения архитектуры безопасности в парадигме Zero Trust
    Виталий Даровских, менеджер по продукту Efros ACS компании “Газинформсервис”
    Внедрение Efros ACS и Efros CI поможет в реализации сразу четырех из восьми принципов ZT
  • Информационная безопасность как искусство возможного
    Роман Пустарнаков, директор департамента организации работ с заказчиками компании “Газинформсервис”
    Роман Пустарнаков, директор департамента организации работ с заказчиками компании “Газинформсервис”, о том, как трансформируется отношение российских компаний к ИБ и отечественным вендорам

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...