ИИ‑плагин Solar appScreener стал «Технологией года» по версии премии «AI‑Олимп»

ГК «Солар», ведущий провайдер комплексной кибербезопасности в России, стала лауреатом премии «AI-Олимп». Победу принес проект «ИИ‑плагин в составе Solar appScreener», который стал «Технологией года» по версии престижной премии. Уже в 2017 году Solar appScreener вошел в перечень мировых решений для безопасной разработки от Gartner — наряду с продуктами ведущих зарубежных разработчиков. Сегодня Solar appScreener лидирует среди российских аналогов: он поддерживает анализ кода на 36 языках программирования и применяется более чем в 200 организациях— в том числе в банках, ИТ‑компаниях, ритейлерах, а также на предприятиях энергетического, транспортного и логистического секторов.

ИИ-плагин стал результатом семилетнего проекта технологического партнера по обучению большой языковой модели на базе десятков тысяч реальных российских и международных проектов. Он может быть развернут в закрытом контуре, работает без доступа в интернет, что минимизирует риски утечек данных во внешние сервисы, платформы для обмена кодом и неожиданную диверсию со стороны ИИ-троянских коней.

Интеллектуальный триаж SAST-результатов DerTriage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Точность автоматической верификации уязвимостей составляет 95%. Плагин также настраивается под требования разработчика ПО, позволяет применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Таким образом, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в сотни раз ускоряет устранение уязвимостей, поддерживая производительность команды разработки без ущерба для безопасности софтверного продукта.

ИИ-технология автоматического исправления уязвимостей DerCodeFix предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются в соответствии с принятыми стандартами кодирования, что обеспечивает читабельность, производительность кода и решает проблемы безопасности. Каждое исправление содержит подробное объяснение того, что и почему было изменено. Разработчик может быть уверен в корректной проверке кода и получает дополнительный источник данных для обучения.

Как показали данные исследования шести больших языковых моделей на десятках проектов, созданных на языках Java и Python, модель DerTriage/DerCodeFix демонстрирует 95% точности на этапе верификации (триаж) и до 85% на этапе исправления уязвимостей (кодфикс). При этом публичные LLM, которые часто используются для этапов триажа и кодфикса, пропускают от 40 до 50% уязвимостей. Охота на уязвимости с возможностями ИИ-плагина определенно будет успешной.

Владимир Высоцкий

руководитель развития бизнеса платформы комплексной безопасности приложений Solar appScreener

«Результаты сканирований обрабатываются за несколько минут даже для проектов с миллионами строк кода, а не недель, как это было ранее. Соответственно ускоряется и выпуск любого программного продукта, при этом сохраняется высокий уровень безопасности разрабатываемого ПО».

Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности от регуляторов рынка, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.