掃描後的三大審核任務
專案原始碼在經過OpenText SAST分析之後產出的分析結果需要進一步進行審核(Audit),審核的目的有三:
1. 整理與分類
掃描出來的問題(issues)將依據OpenText專家的分類規則進行分組,而且OpenText的分類規則也可以分別對應到資安領域常見的其他分類或合規標準,例如:CWE Top 25、FISMA、GDPR、OWASP Top 10等。
2. 確保正確性
掃描結果中包含了真正的漏洞及誤報,需要通過審核來分辨這些真正的漏洞或誤報。
3. 設定優先順序
OpenText SAST以問題的衝擊程度及發生的可能性將問題分成Critical、High、Medium及Low共四個等級。審核人員可以自行調整,或自定義等級。
人工審核面臨的挑戰
OpenText SAST所產生的掃描結果已經有初步的審核成果,包括問題的整理與分類,以及設定問題的優先順序(等級)。除了這些,還需要再進一步研究那些問題是真正的漏洞,以及那些是誤報。在AI技術發展之前,這些審核活動需要人力親為,因此帶來了以下挑戰:
1. 需要專業知識
要辨識問題是不是真正的漏洞或是誤報,除了具備編碼能力,還需具備安全軟體開發專業知識,而且必須對專案有深入了解。開發團隊中的技術負責人或資深開發人員在受過安全軟體開發專業訓練後,才可執行審核作業。
2. 耗時
由於需要對每個發現的問題進行研究,若問題多,需要耗費許多時間;萬一專業知識不足的話,將更曠日廢時。
3. 軟體開發延遲
掃描、審核、修補漏洞、複掃確認等都需要時間,對於時程緊湊的專案可能出現延遲。
人工審核面臨的挑戰
OpenText專家憑藉超過10年的人工智慧(Artificial Intelligence,AI)與大型語言模型(Large Language Model,LLM)的專業知識與使用經驗,自主發展LLM,推出OpenText Application Security Aviator,透過自家訓練的LLM,應用AI來協助識別真正的漏洞,減少誤報,並進行程式語意理解與推論,產生修復建議與範例程式碼,將平均修復時間(MTTR)從數天縮短至數小時,從而減緩軟體開發延遲壓力。Aviator帶來的效益包括:
1. 解決積壓的安全問題
利用AI程式碼分析提供的程式碼修復建議,大幅減少開發人員修復程式碼安全性問題所花費的時間。
2. 減少程式碼修復摩擦
將AI程式碼修復建議無縫融入開發人員的工作流程,實現無摩擦的體驗。
3. 在流程中加入隨即可用的開發者修復指南
將清楚的上下文解說和程式碼級別建議直接映射到每個檢測結果,並將其寫回您的OpenText應用程式安全工作流程,無需學習新的用戶界面。產生的建議範例程式碼,幾乎可以直接複製使用。
4. 區分真正漏洞與誤報
藉助清楚的解釋和高可信度的抑制功能,減少誤報,幫助團隊減少審核時間,將更多時間用於修復。
5. 提升開發人員的生產力與安全開發能力
在開發人員的程式碼上下文和他們理解的術語下,審核並解釋安全問題。
結論
開發團隊面臨著程式碼不斷成長、發布週期不斷縮短以及資源有限的困境,再加上傳統的靜態分析工具常常帶來誤報,每個誤報都需要時間進行研究,造成生產力降低、開發時程延遲,甚至開發人員不信任靜態分析工具,這些都讓修復安全漏洞比以往任何時候都更加困難。
Aviator應用AI與LLM來突顯真正的漏洞,並提供清楚的上下文解說與實際有用的修復建議,縮短了從檢測到解決問題的時間,讓開發團隊和安全團隊之間的協作更順暢,達成雙贏。
延伸閱讀:
