SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

Компания ShiftLeft Security (входит в ITD Group) представила решение для безопасной разработки — статический анализатор исходного кода SASTAV. Особенность продукта заключается в наличии AI-ассистента, который существенно снижает нагрузку на специалистов за счет минимизации времени и трудозатрат на триаж результатов сканирования.

Ещё одной особенностью является выдача рекомендаций по внесению конкретных изменений прикладного характера: модифицировать код можно через функцию copy/paste.

SASTAV автоматически проверяет нескомпилированный код на всех поддерживаемых языках. Для ускорения процесса устранения уязвимостей команда ShiftLeft Security разработала методику КАИВ (каскадная AI валидация дефектов кода), которая предусматривает наличие AI-ассистента для автоматизации работы с результатами анализа.

Методология КАИВ позволяет исключить избыточные срабатывания, оставляя только критически важные уязвимости, требующие внимания разработчика.

AI-ассистент играет ключевую роль в сокращении ручной работы. Он помогает разработчикам сосредоточиться на действительно важных проблемах, ускоряя процесс исправления, и, таким образом, сокращая время вывода продукта на рынок.

SASTAV доступен как локальное ПО, устанавливаемое через докер-контейнеры или в K8s. Продукт работает с популярными языками программирования, такими как Java, C#, Python, PHP и пр. на всех версиях Linux, соответствующих требованиям российских регуляторов. Установка SASTAV занимает 20 минут. Продукт способен сканировать до 2 миллионов строк кода в час.

SASTAV встраивается в существующий процесс разработки. Решение поддерживает интеграцию с помощью API с популярными системами автоматизации процессов.

Совладелец группы компаний ITD Group Ксения Калемберг отмечает: «Разработчики ПО зачастую ориентируются на выполнение технического задания и реализацию функционала продукта и не всегда имеют возможность уделить достаточное внимание вопросам безопасности кода как в силу сжатости сроков проекта, так и в связи с необходимостью привлечения специалистов более высокой квалификации, способных разобраться в вопросах ИБ. Создавая анализатор SASTAV, мы искали возможности снижения трудозатрат на поиск и устранение дефектов кода и обеспечения безопасности разрабатываемого ПО. Тестирование показало, что использование методики КАИВ с AI-ассистентом позволило снизить количество выявленных уязвимостей, требующих вмешательства человека, в 8,5 раз».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Атака Mice-E-Mouse: прослушка через геймерскую мышь

Исследователи из Калифорнийского университета в Ирвайне доказали, что высокопроизводительная оптическая мышь вроде Razer Viper может слить на сторону секреты, озвученные пользователем во время работы на компьютере.

Разработанная ими атака Mic-E-Mouse полагается на высокую частоту опроса и чувствительность датчиков мыши, способных улавливать вибрации рабочей поверхности, создаваемые акустическими волнами.

Для сбора таких данных в сыром виде использовался опенсорсный софт, для их очистки — цифровая обработка сигналов, для анализа и воссоздания речи — ИИ-модель Whisper разработки OpenAI, обученная на готовых наборах аудиозаписей (англоязычных).

 

Тестирование показало точность распознавания от 42 до 62%; этого достаточно для скрытной прослушки, и микрофон в этом случае не понадобится.

Наиболее уязвимы к Mice-E-Mouse оптические мыши 1-8 кГц, оборудованные датчиками с разрешением 20 000 DPI (точек на дюйм) и выше.

В качестве сборщика сырых данных годятся видеоигры, приложения для творчества и прочий высокопроизводительный софт. Злоумышленнику придется лишь получить к нему доступ, а обработку и реконструкцию можно выполнять удаленно и в удобное время.

 

Издавна известно, что беспроводные мыши также уязвимы к Mousejacking — подмене пользовательского ввода с целью развития атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru