В платформе Solar appScreener появилась встроенная ИИ-модель

Безопасную разработку приложений, которую обеспечивает платформа Solar appScreener, усилили при помощи локальной большой языковой модели DerTriage/DerCodeFix. О выходе обновлённой версии «Киберболоиду» сообщили в пресс-службе Группы компаний «Солар». Плагин с искусственным интеллектом решает задачу сокращения времени, которое разработчики затрачивают на особенно трудоёмкие операции. Пользуясь им, возможно ускорить процессы безопасной разработки до 10 раз, соответственно, приблизив и дату выхода готового продукта на рынок. Продукт входит в Реестр отечественного ПО Минцифры России.

Доля рынка сегмента заказной разработки в скором времени может достигнуть 280 млрд руб., то есть 24% от общего объёма. Согласно прогнозу Группы компаний Б1, это произойдёт уже в 2028 году. Увеличение спроса на разработку сопровождается аналогичным процессом в отношении требований регуляторов к качеству и безопасности. Всё это приводит к существенному росту нагрузки на команды разработки и AppSec-инженеров и вынуждает бизнес искать новые способы оптимизации процессов. Трендом 2025 года стало создание двух третей корпоративных приложений с использованием low-code/no-code и GenAI. Используют эти платформы для своих разработок уже 87% корпоративных ИТ-разработчиков.

Высокие объёмы написания кода, которые увеличиваются с использованием искусственного интеллекта, усиливают другие проблемы команд разработчиков: нехватку DevSecOps-инженеров, различающийся уровень экспертизы и стремительное накопление технического долга. Именно для решения подобных проблем «Солар» встроил в модуль статического анализа SAST продукта Solar appScreener ИИ-плагин с двумя технологиями: интеллектуальный триаж SAST-результатов и автоматическая генерация исправленного кода уязвимостей. Обучение LLM осуществлялось на основе данных проектов по безопасной разработке тысячи компаний, которые собирались в течение семи лет.

ИИ-плагин разворачивается в закрытом контуре и работает без доступа в интернет. Технология DerTriage всесторонне анализирует результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдаёт список только реальных угроз с пояснением для разработчиков. Так в автоматическом режиме удаётся верифицировать 95% обнаруженных уязвимостей. Применение Solar appScreener также позволяет разработчикам сократить количество ложных срабатываний при SAST-анализе.

Устранять уязвимости удаётся в 500 раз быстрее. Разработчики могут получить готовые исправления для выявленных уязвимостей с помощью решения DerCodeFix. Генерация таких патчей осуществляется на основе общепринятых стандартов кодирования. К ней также прилагается подробное объяснение необходимых шагов.

Решение уже протестировали на 20 проектах, созданных на языках Java и Python. На этапе верификации модель DerTriage/DerCodeFix достигла точности в 80%. На этапе исправления обнаруженных проблем этот показатель варьировался от 78 до 83%. Используемые в аналогичных целях публичные LLM могут пропускать до 50% уязвимостей.

В настоящее время в Solar appScreener доступен анализ кода на 36 языках программирования. В числе пользователей данного решения для безопасной разработки присутствуют ГК Softline, «Инфосистемы Джет», Swordfish, УЦСБ и другие компании.