Бразды исправления: ИИ от Т-Банка поможет разработчикам устранять уязвимости

Роман Рожков Редакция Forbes

Т-Банк выводит на рынок ассистента по информационной безопасности (ИБ) Safeliner на основе искусственного интеллекта, узнал Forbes. Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и ликвидировать уязвимости. В компании рассчитывают на то, что Safeliner поможет экономить «Т-Технологиям» (материнской компании Т-Банка) более 1 млрд рублей в год. Крупный бизнес, которому банк будет предлагать этот инструмент, также сможет снижать свои расходы на суммы того же порядка, полагают в банке. Использование AI-ассистента может быть востребовано компаниями, активно ведущими собственную разработку ПО, считают эксперты

Код с поддержкой

Т-Банк выводит на рынок собственную ИИ-разработку Safeliner — ИБ-помощника, который предназначен для снижения нагрузки на продуктовые команды в компании, быстрого реагирования на угрозы и устранения уязвимостей, рассказали Forbes в банке. AI-ассистент создан в привычной для разработчиков среде GitLab и использует большую языковую модель для генерации подсказок. Все модели работают внутри корпоративного контура — внешние API и сторонние сервисы не используются.

По собственным оценкам, использование Safeliner может сэкономить Группе «Т-Технологии» более 1 млрд рублей в год, минимизируя риски в сфере ИБ и оптимизируя код в экосистеме: «Мы собрали входящий поток по воронке уязвимостей. Усреднили его по месячному значению, сравнили стоимость исправления руками (как было) и как стало (с Safeliner) с учетом перспектив улучшения и развития технологии. Таким образом, поняли экономию за счет сокращения времени и ресурсов на разработку». Сэкономить средства это поможет и крупным компаниям вроде Т-Банка, добавили в компании.

Telegram-канал Forbes.Russia

Канал о бизнесе, финансах, экономике и стиле жизни

AI-ассистент по информационной безопасности был внедрен в августе 2024 года и в настоящее время применяется для внутренних задач Т-Банка. Процессы поиска и исправления уязвимостей в компании ускорились до пяти раз, делятся результатами в компании.

Safeliner анализирует потенциальные уязвимости, найденные инструментами статического анализа, отфильтровывает ложные срабатывания, генерирует понятные разработчикам подсказки и описания проблем безопасности, поясняют в Т-Банке. Safeliner подсвечивает и исправляет дефекты практически в момент появления. Технология не привязана к конкретным инструментам статического анализа (SAST), используемым в компании, адаптируется под требования организации и позволяет работать с любыми отчетами в формате SARIF — стандартном формате для обмена данными о результатах статического анализа кода. Safeliner интегрируется как с коммерческими решениями, так и с открытыми.

Материал по теме

«В условиях высокого спроса на опытных IT-специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создает дополнительные киберриски и ставит под угрозу безопасность продуктов, – говорит вице-президент, директор департамента информационной безопасности Т-Банка Дмитрий Гадарь. – При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости еще на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика».

Среди клиентов, использующих Safeliner, уже есть несколько финтех-компаний и российский вендор решений в области безопасности приложений, говорят в Т-Банке. «Поскольку это новый B2B-продукт, у нас еще не сформирована окончательная ценовая политика. Работаем над ростом лояльной аудитории пользователей, — уточнили там. — Тарификация происходит за каждую обработанную уязвимость. Текущая стоимость одного исправления 100-200 рублей в зависимости от выбранной модели и метода интеграции».

Умная фильтрация

Подход из описания продукта может быть эффективным с точки зрения сокращения трудозатрат для команды Application Security (AppSec), указывает директор по информационной безопасности «Вебмониторэкс» Лев Палей. В частности, ИИ может значительно ускорить процесс триажа уязвимостей, то есть их верификацию и определение степени критичности, а также решить проблему обработки дубликатов, полагает он.

Подобные решения для обеспечения безопасности при разработке приложений и выявления уязвимостей в исходном коде с интегрированным ИИ уже присутствуют на международном рынке, обращают внимание эксперты. Это, например, продукты Checkmarx (модуль AI Security Champion), Semgrep (ИИ-ассистент Semgrep Assistant), Snyk Code (модуль DeepCode AI Fix), перечисляет гендиректор Security Vision Руслан Рахметов. Такие решения используют ИИ для интеллектуального выявления ошибок в коде и их автоматического исправления, они также могут поддерживать интеграцию с ChatGPT, OpenAI, Google Gemini и GitHub Copilot, говорит он.

Материал по теме

«В простейшем случае исходный код программы сначала «прогоняется» через статический анализатор, который выявляет потенциально опасные места и генерирует отчет в формате SARIF. Отчет затем парсится, например Python-скриптом, и далее создаются структурированные промпты для LLM — то есть модель получает на вход выявленные анализатором опасные части кода и сформулированные запросы по их анализу, на которые и дает ответ», — объясняет Руслан Рахметов. По его словам, на российском ИБ-рынке уже есть продукты, которые занимаются примерно тем же: «Можно отметить Solar appScreener от «Солар», в котором применяется запатентованная технология Fuzzy Logic Engine для статического анализа кода с использованием нечеткой логики, сокращающей число ложных срабатываний анализатора».

При этом Safeliner может быть востребован крупными компаниями, которые активно ведут собственную разработку ПО, а дополнительным плюсом будет использование onprem-моделей и отсутствие зависимостей от внешних сервисов, считает Рахметов. «Оценка экономической эффективности применения этого ИИ-ассистента будет зависеть от специфики конкретного потребителя — зрелости его процессов безопасной разработки и наличия уже внедренных систем для статического, динамического, интерактивного, поведенческого анализа кода», — добавляет он.

Однако возникает вопрос к способу тарификации, замечает Лев Палей. «Насколько она будет прозрачной и понятной для заказчика? Будет ли учитываться каждая найденная уязвимость или только подтвержденные и критичные? В случае сложной тарификации могут возникнуть ситуации с оспариванием заказчиком итоговой суммы услуги», — полагает эксперт.

Материал по теме

Еще один вопрос, насколько этот инструмент встроен в процесс CI/CD (Continuous Integration, Continuous Delivery, то есть автоматизированный процесс тестирования и доставки новых модулей разрабатываемого проекта заинтересованным сторонам), продолжает Палей. «Иными словами, насколько быстро и в насколько удобном формате результаты работы ИИ будут доставляться до разработчиков для оперативного устранения найденных уязвимостей. На основе опыта внедрения нашего близкого по функциональным возможностям продукта мы убедились, что возможность встраивания в автоматизированный CI/CD процесс является одной из ключевых для разработчиков приложений», — заключает он.

Материал по теме