So reduzieren Sie die Sicherheitsüberprüfungszeit durch die Anbindung von LLM-APIs an Open-Source-Schwachstellenscans

Open Source ist praktisch, aber ebenso riskant. Laut einer Umfrage aus dem Jahr 2025 ist die Fehlerrate im Vergleich zum Vorjahr um 41 % in die Höhe geschnellt, seit KI begann, Code für uns zu schreiben. Für Sicherheitsverantwortliche, die zehntausende Zeilen externer Bibliotheken allein prüfen müssen, kommt dies einer Katastrophe gleich. Da es unmöglich ist, jeden Codeabschnitt manuell zu lesen, müssen wir die KI zu unserem Verbündeten machen. Hier erfahren Sie, wie Sie einen intelligenten Sicherheits-Workflow erstellen, der ähnlich wie Project Glasswing funktioniert.

Installation einer KI-Sicherheits-Engine in GitHub Actions

Durch die Automatisierung von Sicherheitsüberprüfungen können Sie repetitive Aufgaben eliminieren, die bisher über 10 Stunden pro Woche in Anspruch genommen haben. Zudem werden menschliche Flüchtigkeitsfehler vermieden. Bauen Sie eine Pipeline in Ihrer GitHub-Actions-Umgebung auf, die bei jedem Pull Request die LLM-API aufruft und einen Echtzeit-Scan durchführt. Der Schlüssel liegt in einer Strategie, die Identifikation und Prüfung voneinander trennt, anstatt der KI einfach nur Fragen zu stellen.

• Schutz des API-Schlüssels: Registrieren Sie den LLM_API_KEY in den GitHub Secrets. Er muss in einem verschlüsselten Libsodium-Speicher aufbewahrt werden, um ein Abfließen des Schlüssels nach außen zu verhindern.
• Konfiguration der Zielverzeichnisse: Sie müssen nicht alle Dateien scannen. Nutzen Sie path-filter in der YAML-Konfiguration, um gezielt sensible Verzeichnisse wie src/auth oder lib/core zu scannen, deren Kompromittierung kritische Folgen hätte.
• Kreuzvalidierung: Lassen Sie die KI im ersten Schritt die Codestruktur analysieren und Notizen erstellen. Im zweiten Schritt führen Sie basierend auf diesen Notizen mindestens drei wiederholte Scans durch. Da auch KIs gelegentlich halluzinieren, ist ein Abgleich der Ergebnisse durch mehrfache Überprüfung notwendig.

Sobald dieses Setup steht, muss der Sicherheitsverantwortliche statt zehntausender Codezeilen nur noch den von der KI zusammengefassten Sicherheitsbericht prüfen.

Mit CVSS und EPSS die wirklich gefährlichen Bedrohungen herausfiltern

KI-Tools sind gut darin, Schwachstellen zu finden, produzieren aber auch viele Fehlalarme (False Positives). Wenn von 100 gefundenen Schwachstellen 15 falsch sind, sorgt das unweigerlich für Frust im Entwicklungsteam. Um begrenzte Entwicklungsressourcen nicht zu verschwenden, benötigen Sie Kriterien, um echte Bedrohungen zu identifizieren. Priorisieren Sie Aufgaben durch die Kombination von CVSS 4.0-Scores mit EPSS-Metriken, die angeben, ob eine Schwachstelle aktuell tatsächlich aktiv ausgenutzt wird.

1. Basis-Score prüfen: Betrachten Sie zuerst den technischen Schweregrad anhand des CVSS 4.0 Base Score.
2. Umgebungs-Score anpassen: Passen Sie die Bewertung an, je nachdem, ob der Code über das Internet erreichbar ist oder nur in einem isolierten internen Netzwerk läuft.
3. Angriffswahrscheinlichkeit abgleichen: Fragen Sie die EPSS-Datenbank ab, um zu sehen, ob die Schwachstelle derzeit bei Angreifern „beliebt“ ist. Liegt die Angriffswahrscheinlichkeit über 50 %, sollten alle anderen Aufgaben zurückgestellt und sofort ein Patch eingespielt werden.

Schon die Konzentration auf „Critical“-Einstufungen ab 9,0 Punkten hebt das Sicherheitsniveau massiv an. Durch die Reduzierung unnötiger Korrekturaufforderungen verringern sich auch die Reibungspunkte mit dem Entwicklungsteam.

Patch-Code in einer Sandbox verifizieren und bereitstellen

Von der KI vorgeschlagene Korrekturen sehen oft perfekt aus, können aber manchmal bestehende Funktionen beeinträchtigen. Unternehmen wie Shopify setzen zwar auf KI, vertrauen dem generierten Code jedoch nicht blind. Sie sollten ein automatisiertes Verfahren etablieren, um die Sicherheit des Patch-Codes in isolierten Umgebungen wie Firecracker oder gVisor zu prüfen.

• Erstellung einer isolierten Umgebung: Nutzen Sie das sbx CLI, um eine MicroVM zu starten, die exakt dieselbe Laufzeitumgebung wie Ihr aktueller Dienst hat.
• Angriffssimulation: Überprüfen Sie mit Angriffsskripten, ob die Schwachstelle tatsächlich ausnutzbar ist. Wenden Sie dann den KI-Patch an und testen Sie erneut, ob der Angriff nun blockiert wird.
• Funktionstests: Führen Sie die bestehenden Unit-Tests mit angewendetem Patch aus. Es nützt nichts, wenn die Sicherheitslücke geschlossen ist, aber der Login nicht mehr funktioniert.

Solche Sicherheitsvorkehrungen verhindern, dass Code, der „fast richtig“, aber im Detail fehlerhaft ist, auf die Produktionsserver gelangt.

Berichte schreiben, die Open-Source-Maintainer sofort akzeptieren

Es reicht nicht aus, nur den eigenen Dienst zu reparieren. Es gehört auch zur Aufgabe von Sicherheitsverantwortlichen, Mängel in der verwendeten Open-Source-Software an das übergeordnete Projekt zu melden. Maintainer sind beschäftigte Menschen, daher müssen Sie ihnen klare Beweise liefern. Nutzen Sie die PVR-Kanäle von GitHub, um Berichte verantwortungsbewusst zu übermitteln.

Geben Sie im Titel den Typ und den Ort der Schwachstelle präzise an. Die Beifügung eines für jeden nachvollziehbaren Reproduktionspfads sowie von Screenshots ist obligatorisch. Am besten ist es, den zuvor in der Sandbox verifizierten Korrekturcode direkt mitzusenden. Wenn Sie die Prüfungszeit für die Maintainer verkürzen, steigt die Wahrscheinlichkeit einer schnellen Übernahme des Patches drastisch. Ein professioneller Bericht beweist die technische Kompetenz Ihres Unternehmens und kann sogar zur Vergabe einer offiziellen CVE-Nummer führen.