DEVSECOPS_WEEKLY Telegram 1308
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1308
DevSecOps Talks
Поиск ИБ-дефектов в исходном коде с использованием LLM

Всем привет!

Команда Semgrep провела небольшое исследование. Они использовали Claude Code и OpenAI Codex для поиска ИБ-дефектов в исходных кодах 11 популярных Python-приложений.

Суммарно было найдено более 400 ИБ-дефектов, которые команда проверила.

Получилось следующее:
🍭 Claude нашел 46 ИБ-дефектов (14% - TPR, 86% - FPR)
🍭 Codex – 21 ИБ-дефект (18% TPR, 82% FPR)
🍭 Лучше всего получалось находить IDOR (Claude) и Path Traversal (Codex)
🍭 Самой большой сложностью был taint-анализ среди нескольких файлов
🍭 И да, нюансы с идемпотентностью никуда не делись. Разные запуски могли давать разные результаты

Детали исследования можно найти в статье (а там много всего интересного).

Из приятного – у Semgrep есть мысли о том, чтобы отдать полученный dataset в «общественное использование» ☺️
Semgrep
Finding vulnerabilities in modern web apps using Claude Code and OpenAI Codex
Our deep dive into AI Coding Agents capabilities for finding security vulnerabilities reveals surprising strengths, critical weaknesses, and a serious problem with consistency.
👍4🔥31
www.tgoop.com/devsecops_weekly/1308
2.6K views



tgoop.com/devsecops_weekly/1308
Create:
Last Update:

Поиск ИБ-дефектов в исходном коде с использованием LLM

Всем привет!

Команда Semgrep провела небольшое исследование. Они использовали Claude Code и OpenAI Codex для поиска ИБ-дефектов в исходных кодах 11 популярных Python-приложений.

Суммарно было найдено более 400 ИБ-дефектов, которые команда проверила.

Получилось следующее:
🍭 Claude нашел 46 ИБ-дефектов (14% - TPR, 86% - FPR)
🍭 Codex – 21 ИБ-дефект (18% TPR, 82% FPR)
🍭 Лучше всего получалось находить IDOR (Claude) и Path Traversal (Codex)
🍭 Самой большой сложностью был taint-анализ среди нескольких файлов
🍭 И да, нюансы с идемпотентностью никуда не делись. Разные запуски могли давать разные результаты

Детали исследования можно найти в статье (а там много всего интересного).

Из приятного – у Semgrep есть мысли о том, чтобы отдать полученный dataset в «общественное использование» ☺️

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1308

View MORE
Open in Telegram


Telegram News

Date: |

Administrators Private channels are only accessible to subscribers and don’t appear in public searches. To join a private channel, you need to receive a link from the owner (administrator). A private channel is an excellent solution for companies and teams. You can also use this type of channel to write down personal notes, reflections, etc. By the way, you can make your private channel public at any moment. To view your bio, click the Menu icon and select “View channel info.” Ng Man-ho, a 27-year-old computer technician, was convicted last month of seven counts of incitement charges after he made use of the 100,000-member Chinese-language channel that he runs and manages to post "seditious messages," which had been shut down since August 2020. But a Telegram statement also said: "Any requests related to political censorship or limiting human rights such as the rights to free speech or assembly are not and will not be considered."
from us


Поиск ИБ-дефектов в исходном коде с использованием LLM

 DevSecOps Talks TG
web: 1308
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American