Semgrep, verimliliği artırmak ve kural oluşturmadan iyileştirmeye kadar bir AppSec programının tüm aşamalarında içgörüleri ortaya çıkarmak için Yapay Zekayı (AI) kullanan bir araç olan Semgrep Assistant'ı duyurdu.
Semgrep, kullanıcıları güvenlik sorunları ve hatalar konusunda uyaran statik bir kod analiz aracıdır. Semgrep Assistant Mayıs 2023'te beta olarak kullanıma sunulduğunda Semgrep, güvenlik bulgularını incelemenin, yanlış pozitifleri tanımlamanın ve gerçek pozitiflere öncelik vermenin önemli miktarda insan çabası gerektirdiğini fark etti. Aynı şekilde çoğu geliştirici en iyi güvenlik uygulamalarına aşina olmadığı için sorunları giderme de aynı şekilde gerçekleşti.
Semgrep, kaynakları serbest bırakmak ve AppSec mühendisleri ile geliştiricilerinin güvenlik sorunlarına yönelik etkisini artırmak için bir yapay zeka aracının kullanılıp kullanılamayacağını belirlemek istiyordu. Böylece Semgrep Assistant açık beta sürümünü başlattı.
Bir yıllık yinelemenin ardından Semgrep, Asistan'ın sağladığı benzersiz değere güveniyor; bu, diğer SAST satıcılarının çoğunun yapay zekadan faydalanma yönteminden (yani yalnızca tarama sonuçlarını artırmak veya düzeltmeleri otomatik olarak önermek) çok farklı. Asistan, güvenlik taramasından önce ve sonra gerçekleşen iş akışlarını hızlandırmak için yapay zekayı kullanıyor.
Semgrep Assistant otomatik düzeltmeler üretirken, Assistant ayrıca önceliklendirme, hatalı pozitif tanımlama, özel kural yazma ve kural yönetimi (yani hangi kuralların iyi çalıştığını belirleme ve geliştiricileri otomatik olarak uyaracak şekilde bunları tanıtma) konularında da yardımcı olur.
“Semgrep Assistant, yanlış pozitiflerin hızlı bir şekilde tespit edilmesine ve meşru bulguların iyileştirilmesine yardımcı olarak geliştiricilere değerli bağlam ve önerilerin ortaya çıkmasına yardımcı oldu. Asistan'ın kendini büyülü hissettiği zamanlar oldu,” dedi Vanta Personel Güvenlik Mühendisi Allan Reyes.
Semgrep Assistant'ı kullanan müşteriler, düzeltme oranlarını (kullanmayanlara kıyasla) iki katına çıkardı ve kullanıcılar, aracın otomatik önceliklendirme geri bildirimini yüzde 96 oranında kabul ediyor. Birincil Semgrep Yardımcısı özellikleri ve işlevleri şunları içerir:
- Otomatik kural yazma: Semgrep, doğru şekilde özelleştirildiğinde üstün bir SAST aracıdır – artık özel kurallar, kaynak veya bilgi yazabilen Semgrep Assistant sayesinde, kısıtlı AppSec ekipleri, kendi kod tabanlarına göre son derece özelleştirilmiş bir çözümün gücünden yararlanabilirler.
- Otomatik triyaj bulguları: Semgrep Assistant, güvenlik bulgularının ne zaman yanlış pozitif olduğunu belirlemek için Semgrep kurallarına özel istemlerin yanı sıra GPT-4'ün kod anlayışını kullanır.
- Otomatik düzeltme kodu: Semgrep Assistant gerçek bir pozitif tespit ettiğinde, düzeltme için bir otomatik düzeltme önerir. Semgrep Assistant yalnızca düzeltmeler üretmekle kalmaz; geliştiricilere, sanki deneyimli bir güvenlik mühendisiyle birlikte çalışıyormuşçasına, oluşturulanları anlamak ve doğrulamak için gereken bilgileri ve bağlamı sunar.
“Semgrep Assistant'ın mevcut iş akışlarını optimize etmek için yapay zekayı kullanan benzersiz yaklaşımı, beta dönemi boyunca son derece etkileyici geri bildirimlere ve sonuçlara yol açtı; Asistan'ın her büyüklükteki AppSec ekiplerine büyük bir katma değer sağladığından eminiz ve Asistan'ın Genel Kullanılabilirliği konusunda kendimizi çok iyi hissediyoruz. serbest bırakıldı,” dedi Semgrep'in kıdemli ürün müdürü Jack Moxon.