DEVSECOPS_WEEKLY Telegram 1297
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1297
DevSecOps Talks
SASTDemons.pdf
31.2 MB
Изгоняя демонов SAST

Всем привет!

Такое название отчету (который можно найти в приложении) дала Ghost Security. Он посвящен результатам исследования возможности использования LLM для оптимизации времени разметки результатов, генерируемых SAST.

В рамках исследования Команда:
🍭 Просканировала порядка 3000 репозиториев open source проектов
🍭 Проанализировала более 2000 сработок
🍭 Потратила 350 часов (~ 2 месяца) для того, чтобы найти 180 истинных срабатываний

Итог простой и очевидный – нужно «что-то», что поможет как-то оптимизировать процесс. И этим «чем-то», конечно, стала LLM.

В отчете достаточно детально описана методика тестирования (что анализировали, что искали, какие инструменты использовали).

Правда не хватает описания используемых LLM и соответствующих prompt’ов.

Единственное, что указано: чтобы сработка считалась истинной необходимо выполнение 3х условий. Код достижим, возможна эксплуатация через external input, ИБ-контроли отсутствуют.

Был ли у вас опыт использования LLM для разметки результатов SAST и если да, то какой?
👍6
www.tgoop.com/devsecops_weekly/1297
2.33K views



tgoop.com/devsecops_weekly/1297
Create:
Last Update:

Изгоняя демонов SAST

Всем привет!

Такое название отчету (который можно найти в приложении) дала Ghost Security. Он посвящен результатам исследования возможности использования LLM для оптимизации времени разметки результатов, генерируемых SAST.

В рамках исследования Команда:
🍭 Просканировала порядка 3000 репозиториев open source проектов
🍭 Проанализировала более 2000 сработок
🍭 Потратила 350 часов (~ 2 месяца) для того, чтобы найти 180 истинных срабатываний

Итог простой и очевидный – нужно «что-то», что поможет как-то оптимизировать процесс. И этим «чем-то», конечно, стала LLM.

В отчете достаточно детально описана методика тестирования (что анализировали, что искали, какие инструменты использовали).

Правда не хватает описания используемых LLM и соответствующих prompt’ов.

Единственное, что указано: чтобы сработка считалась истинной необходимо выполнение 3х условий. Код достижим, возможна эксплуатация через external input, ИБ-контроли отсутствуют.

Был ли у вас опыт использования LLM для разметки результатов SAST и если да, то какой?

BY DevSecOps Talks


Share with your friend now:
tgoop.com/devsecops_weekly/1297

View MORE
Open in Telegram


Telegram News

Date: |

The group’s featured image is of a Pepe frog yelling, often referred to as the “REEEEEEE” meme. Pepe the Frog was created back in 2005 by Matt Furie and has since become an internet symbol for meme culture and “degen” culture. How to create a business channel on Telegram? (Tutorial) More>> 4How to customize a Telegram channel? Hui said the time period and nature of some offences “overlapped” and thus their prison terms could be served concurrently. The judge ordered Ng to be jailed for a total of six years and six months.
from us


Изгоняя демонов SAST

 DevSecOps Talks TG
web: 1297
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American