Т-БАНК [новости]

Т-Банк представил российского AI-ассистента для кибербезопасности.

Т-Банк разработал российского ассистента по кибербезопасности Safeliner, основанный на искусственном интеллекте (AI). Его цель — снизить нагрузку на продуктовые команды, ускорить реагирование на угрозы и предотвратить уязвимости в коде на этапе разработки.

Safeliner поможет Группе Т-Технологии сэкономить более 1 млрд ₽ в год, уменьшив риски в сфере информационной безопасности и оптимизировав код в экосистеме Т. В будущем Т-Банк планирует сделать Safeliner доступным для других компаний. Несколько партнеров уже проводят тестирование продукта.

Safeliner позволяет разработчикам:
- Значительно сократить расходы на устранение уязвимостей.
- Снизить риски, связанные с безопасностью кода.
- Сократить время существования потенциальных уязвимостей.
- Уменьшить число ложных срабатываний инструментов поиска уязвимостей.
- Лучше понимать природу уязвимостей благодаря обучению на реальных примерах.

AI-ассистент внедрен в августе 2024 года и уже используется для внутренних задач Т-Банка. Процессы поиска и исправления уязвимостей ускорились до пяти раз.

Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности Т-Банка, отмечает: «В условиях дефицита опытных ИТ-специалистов разработчики часто сосредотачиваются на продукте и могут допускать ошибки, которые становятся уязвимостями. Обучение безопасной разработке требует много времени и усилий, поэтому некоторые специалисты не уделяют должного внимания безопасности кода. Это создает дополнительные риски и угрожает безопасности продуктов. Safeliner реализует подход shiftleft, позволяя устранять уязвимости еще на этапе написания кода, не отвлекая разработчиков от их основной работы».

Safeliner работает в среде GitLab, используя большую языковую модель для генерации подсказок и исправлений кода. Разработчику нужно лишь принять предложенное исправление. Все процессы происходят внутри корпоративного контура, без использования внешних API и сторонних сервисов.

Как функционирует AI-ассистент по кибербезопасности

Safeliner анализирует потенциальные уязвимости, найденные инструментами статического анализа, фильтрует ложные срабатывания, предлагает понятные разработчикам подсказки и описания проблем безопасности. Уязвимости подсвечиваются и исправляются практически мгновенно, что снижает затраты на устранение.

Технология не привязана к конкретным инструментам статического анализа (SAST), используемым в компании. Она легко адаптируется под требования организации и работает с любыми отчетами в формате SARIF — стандартном формате обмена данными о результатах статического анализа кода. Safeliner интегрируется как с коммерческими, так и с открытыми решениями.

С помощью технологии RAG, которая обогащает информацию из общедоступных и корпоративных баз знаний, Safeliner предлагает варианты автоматического исправления уязвимостей. Контекст создается на основе множества источников данных, таких как внутренняя база знаний, индустриальные стандарты и рекомендации (например, OWASP), анализ графового представления кода (AST, DFG, CFG), описание уязвимости из отчета SARIF и разметка пользователя.

Кроме того, Safeliner собирает обратную связь от разработчиков по найденным уязвимостям для дальнейшего анализа и корректировки правил поиска и алгоритмов исправления.

Источник: www.tbank.ru