В GitLab появились встроенные средства сортировки и устранения неполадок на базе искусственного интеллекта

В GitLab появились встроенные средства сортировки и устранения неполадок на базе искусственного интеллекта. Фото: из архива компании.

Разработчики получили инструменты, способные автоматически отличать реальные угрозы от ложных срабатываний и даже предлагать готовые исправления, не требуя от программистов глубоких экспертных знаний в области безопасности.

Общедоступной стала функция обнаружения ложных срабатываний в статическом тестировании безопасности приложений, которая использует большую языковую модель для оценки вероятности того, является ли обнаруженная уязвимость реальной проблемой или ложным сигналом.

В стадии бета-тестирования находится система устранения уязвимостей Agentic SAST, способная автоматически создавать запросы на слияние с предлагаемыми исправлениями для подтвержденных уязвимостей. Также в режиме бета-доступа запущено обнаружение ложных срабатываний для секретов, которое отсеивает фиктивные и тестовые учетные данные, позволяя командам сосредоточиться на действительно критичных токенах и паролях.

Традиционные сканеры безопасности часто создают слишком много шума, отмечая каждый подозрительный фрагмент кода без понимания контекста выполнения, что вынуждает разработчиков тратить часы на проверку результатов, которые в итоге оказываются ложными срабатываниями, утверждается в сообщении компании.

Новый подход GitLab автоматически анализирует каждую критическую и серьезную ошибку, присваивая ей показатель достоверности и предоставляя сгенерированное искусственным интеллектом объяснение своих выводов. В интерфейсе отчета об уязвимостях теперь отображаются визуальные значки, позволяющие легко отличить вероятные ложные срабатывания от реальных угроз, а команды могут фильтровать результаты, чтобы сосредоточиться только на подтвержденных проблемах, говорят разработчики.

Если уязвимость признается реальной, в дело вступает агентная система устранения проблем. Она анализирует уязвимый код и окружающий контекст, генерирует качественные исправления, проверяет их с помощью автоматизированного тестирования и открывает запрос на слияние с конкретными изменениями в коде, показателем достоверности и подробным объяснением того, что было изменено и почему. Такой подход превращает процесс от обнаружения уязвимости до готового решения в полностью автоматизированный конвейер.

Аналогичным образом работает новая функция обнаружения ложных срабатываний для секретов, которая при запуске в основной ветке анализирует каждый результат, выявляя тестовые учетные данные и фиктивные значения, после чего присваивает оценку достоверности и добавляет поясняющие значки в отчет. Разработчики также могут запустить этот анализ вручную для любого обнаруженного секрета, чтобы быстро отсеять не представляющие риска уязвимости.

Все новые возможности доступны клиентам GitLab Ultimate, использующим платформу GitLab Duo Agent Platform, и охватывают полный цикл работы с уязвимостями от первичного обнаружения до готового исправления. Компания уже открыла бесплатную пробную версию платформы, позволяющую опробовать инструменты искусственного интеллекта для автоматизации сортировки угроз и устранения проблем безопасности.