Как сократить время проверки безопасности, подключив LLM API к сканированию уязвимостей в открытом исходном коде

Открытый исходный код удобен, но несет в себе риски. Согласно исследованию 2025 года, с тех пор как ИИ начал писать код за людей, частота возникновения багов подскочила на 41% по сравнению с предыдущим годом. Для специалиста по безопасности, которому в одиночку приходится проверять десятки тысяч строк внешних библиотек, это сродни катастрофе. Прочитать весь код невозможно, поэтому нужно сделать ИИ своим союзником. Мы подготовили руководство по созданию умного рабочего процесса безопасности, который работает по принципу Project Glasswing.

Установка ИИ-движка безопасности в GitHub Actions

Автоматизация проверки безопасности позволяет исключить более 10 часов рутинной повторяющейся работы в неделю. Она также предотвращает ошибки, которые человек может упустить при беглом просмотре. Попробуйте создать конвейер в среде GitHub Actions, который вызывает LLM API для сканирования в реальном времени при каждом Pull Request. Ключевая стратегия здесь — не просто задавать вопросы, а разделять процессы идентификации и аудита.

• Защита API-ключа: Зарегистрируйте LLM_API_KEY в GitHub Secrets. Его следует хранить в зашифрованном хранилище Libsodium, чтобы предотвратить утечку ключа вовне.
• Настройка целевых директорий: Нет необходимости просматривать все файлы. Используйте path-filter в настройках YAML, чтобы сканировать только критически важные директории, такие как src/auth или lib/core, инциденты в которых могут стать фатальными.
• Перекрестная проверка: На первом этапе пусть LLM проанализирует структуру кода и составит заметки, а на втором этапе запустите повторное сканирование не менее 3 раз на основе этих заметок. ИИ иногда может ошибаться (галлюцинировать), поэтому необходим процесс сопоставления результатов нескольких проверок.

После завершения этой настройки специалисту по безопасности останется лишь проверять краткие отчеты, подготовленные ИИ, вместо десятков тысяч строк кода.

Отбор реально опасных угроз с помощью CVSS и EPSS

Инструменты ИИ хорошо находят уязвимости, но при этом выдают много ложноположительных результатов. Если из 100 найденных проблем 15 окажутся ложными, команда разработки неизбежно будет раздражена. Чтобы не тратить ограниченные ресурсы разработки впустую, нужны критерии для выявления реальных угроз. Расставляйте приоритеты, комбинируя баллы CVSS 4.0 и показатели EPSS, которые показывают, происходят ли атаки на практике в данный момент.

1. Проверка базового балла: Сначала оцените техническую серьезность по базовой шкале CVSS 4.0.
2. Корректировка оценки среды: Уменьшайте или увеличивайте балл в зависимости от того, выставлена ли эта функция во внешний интернет или работает только во внутренней сети.
3. Сопоставление с вероятностью атаки: Запросите базу данных EPSS, чтобы узнать, популярна ли эта уязвимость сейчас среди злоумышленников. Если вероятность атаки превышает 50%, отложите все дела и немедленно приступайте к исправлению.

Фокусировка только на критических уровнях (9.0 и выше) значительно повышает уровень безопасности. Сокращение лишних запросов на исправление также естественным образом уменьшит трения с командой разработки.

Проверка и деплой патч-кода в песочнице

Предложенные ИИ исправления могут выглядеть идеально, но иногда они ломают работающий функционал. Такие компании, как Shopify, используют ИИ, но не доверяют сгенерированному коду вслепую. Необходимо внедрить процедуру автоматической проверки безопасности патч-кода в изолированных средах, таких как Firecracker или gVisor.

• Создание изолированной среды: Используйте sbx CLI для запуска микро-VM с той же средой выполнения, что и у текущего сервиса.
• Симуляция атаки: Проверьте, действительно ли уязвимость пробивается скриптом атаки, затем примените патч от ИИ и снова атакуйте, чтобы убедиться, что она заблокирована.
• Функциональное тестирование: Запустите существующие юнит-тесты с примененным патчем. Нет смысла в защите, если после нее невозможно войти в систему.

Наличие таких предохранителей предотвращает попадание на рабочий сервер кода, который «почти правильный», но содержит мелкие критические ошибки.

Написание отчетов, которые мейнтейнеры open-source примут сразу

Не стоит ограничиваться исправлением только своего сервиса. Сообщать о дефектах самого используемого открытого ПО в родительский проект — также задача специалиста по безопасности. Мейнтейнеры — занятые люди, поэтому им нужно предоставлять четкие доказательства. Используйте каналы PVR на GitHub для ответственной передачи отчетов.

В заголовке четко укажите тип и местоположение уязвимости. Обязательно приложите пошаговый путь воспроизведения и скриншоты, которые сможет повторить каждый. Лучше всего — отправить вместе с отчетом код исправления, который вы ранее проверили в песочнице. Сокращение времени на проверку для мейнтейнера резко увеличивает шансы на принятие патча. Один грамотный отчет доказывает техническую экспертизу компании и может привести к получению официального номера CVE.