AppSec.Track стал первым российским SCA-анализатором, способным работать с искусственным интеллектом

AppSec.Track стал первым российским SCA-анализатором, способным работать с искусственным интеллектом. Обновление системы сделано для «вайб-кодеров» и поможет определять, нет ли среди сгенерированного моделью кода несуществующих или вредоносных сторонних пакетов. Об этом CNews сообщили представители AppSec Solutions.

Разработчик может прямо в диалоге с ИИ-ассистентом запросить проверку сгенерированного кода с помощью AppSec.Track, а система автоматически проверит используемые сторонние компоненты, подсветит потенциальные угрозы и предложит исправление. Новый функционал основан на протоколе MCP (Model Context Protocol). Он позволит избежать серьезных проблем с кодом, создаваемым LLM.

«Разработчики все чаще прибегают к помощи ИИ, пишут код по-новому, поэтому для его анализа необходимы новые подходы и инструменты. Современные AI-Native редакторы (Cursor, Windsurf и им подобные) уже достаточно интеллектуальны, умеют автоматически писать код, проверять ошибки, делать выводы. Однако и им необходима качественная база уязвимостей, которую в нашем случае дает AppSec.Track, в том числе с учетом собственных требований безопасности, которые могут быть определены в компании. Это позволяет любому разработчику, даже если он не сильно погружен в безопасность, получить более качественный результат на выходе», — сказал директор по продукту AppSec.Track Константин Крючков.

Набирающие популярность подходы low-coding, vibe-coding позволяют ускорить написание кода или вовсе его избежать, однако код, который создает LLM может быть небезопасным. В частности, модель может галлюцинировать, рекомендовать несуществующие, устаревшие или небезопасные версии компонентов.

«Функционально пользователь получает вполне работающий код, но с точки зрения безопасности там могут быть сюрпризы, например SQL-инъекции и логические ошибки. Использование ИИ-ассистентов не заменяет (возможно пока) применение классических инструментов и практик DevSecOps. В случае Open-Source компонентов модель может просто не успевать за скоростью обнаружения новых угроз и рекомендовать версии, которые уже не считаются безопасными. Поэтому внедрение дополнительных инструментов безопасности – необходимость», — сказал Антон Башарин, старший управляющий директор AppSec Solutions.

Инструмент ориентирован на профессиональные команды разработчиков, которые внедряют ИИ-ассистентов в свои процессы. Это позволит компаниям соблюдать требования безопасности (Secure by Design) даже при использовании генеративного кода.