SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

Екатерина Быстрова 23 Октября 2024 - 17:20

Статическое тестирование защищённости приложений (SAST)

...

SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

Компания ShiftLeft Security (входит в ITD Group) представила решение для безопасной разработки — статический анализатор исходного кода SASTAV. Особенность продукта заключается в наличии AI-ассистента, который существенно снижает нагрузку на специалистов за счет минимизации времени и трудозатрат на триаж результатов сканирования.

Ещё одной особенностью является выдача рекомендаций по внесению конкретных изменений прикладного характера: модифицировать код можно через функцию copy/paste.

SASTAV автоматически проверяет нескомпилированный код на всех поддерживаемых языках. Для ускорения процесса устранения уязвимостей команда ShiftLeft Security разработала методику КАИВ (каскадная AI валидация дефектов кода), которая предусматривает наличие AI-ассистента для автоматизации работы с результатами анализа.

Методология КАИВ позволяет исключить избыточные срабатывания, оставляя только критически важные уязвимости, требующие внимания разработчика.

AI-ассистент играет ключевую роль в сокращении ручной работы. Он помогает разработчикам сосредоточиться на действительно важных проблемах, ускоряя процесс исправления, и, таким образом, сокращая время вывода продукта на рынок.

SASTAV доступен как локальное ПО, устанавливаемое через докер-контейнеры или в K8s. Продукт работает с популярными языками программирования, такими как Java, C#, Python, PHP и пр. на всех версиях Linux, соответствующих требованиям российских регуляторов. Установка SASTAV занимает 20 минут. Продукт способен сканировать до 2 миллионов строк кода в час.

SASTAV встраивается в существующий процесс разработки. Решение поддерживает интеграцию с помощью API с популярными системами автоматизации процессов.

Совладелец группы компаний ITD Group Ксения Калемберг отмечает: «Разработчики ПО зачастую ориентируются на выполнение технического задания и реализацию функционала продукта и не всегда имеют возможность уделить достаточное внимание вопросам безопасности кода как в силу сжатости сроков проекта, так и в связи с необходимостью привлечения специалистов более высокой квалификации, способных разобраться в вопросах ИБ. Создавая анализатор SASTAV, мы искали возможности снижения трудозатрат на поиск и устранение дефектов кода и обеспечения безопасности разрабатываемого ПО. Тестирование показало, что использование методики КАИВ с AI-ассистентом позволило снизить количество выявленных уязвимостей, требующих вмешательства человека, в 8,5 раз».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Ноября 2025 - 11:57

Android Уязвимости программ Домашние пользователи Корпорации Google

Rust снизил уязвимости памяти в Android до рекордно низких 20%

Google рассказала о результатах перехода Android на язык программирования Rust — и цифры заметные. Впервые за всю историю разработки доля уязвимостей, связанных с безопасностью работы с памятью, опустилась ниже 20% от общего числа уязвимостей в системе.

По словам Джеффа Ван дер Ступа из Google, Rust даёт примерно «в 1000 раз меньшую плотность уязвимостей», чем C и C++ в аналогичных модулях Android.

Но неожиданным бонусом стало другое: новый код быстрее проходит через процесс разработки. Как отметил представитель компании, изменения на Rust откатываются в 4 раза реже и требуют на четверть меньше времени на проверку кода. По сути, более безопасный путь оказался ещё и более быстрым.

Эти выводы подтверждают прошлогодние данные: количество ошибок памяти в Android упало с 223 в 2019 году до менее чем 50 в 2024-м.

Google отмечает, что код на Rust требует примерно на 20% меньше правок, чем C++, что также ускоряет разработку. Сейчас компания планирует расширять использование Rust — не только в системных компонентах, но и в ядре, прошивке и критичных приложениях. Уже сейчас в Chromium заменены парсеры PNG, JSON и веб-шрифтов на безопасные аналоги, написанные на Rust.

При этом в компании подчеркивают: Rust сам по себе не «серебряная пуля». Он — лишь часть общей стратегии по обеспечению безопасности памяти. Как пример, Google приводит найденную уязвимость CVE-2025-48530 в CrabbyAVIF — AVIF-парсере, написанном на Rust с использованием небезопасных блоков кода. Ошибка могла привести к удалённому выполнению кода, но её вовремя исправили до релиза.

Дополнительно оказалось, что проблему фактически нейтрализовал Scudo — пользовательский аллокатор памяти в Android, который защищает от переполнений буфера, use-after-free и других типичных ошибок.

Google отдельно подчёркивает: даже «unsafe»-блок в Rust не отключает общие механизмы безопасности языка. По их данным, даже небезопасный Rust всё равно значительно безопаснее аналогичного кода на C или C++.

Компания ожидает, что C и C++ будут использоваться и дальше, но переход на Rust даёт Android редкую комбинацию — безопасность, не мешающую скорости разработки.

SAST SASTAV сокращает время устранения уязвимостей в 8,5 раз

Читайте также