Integración de AutoTriage en IDE

Decir que vas a «desplazar hacia la izquierda» es fácil; tiene sentido. Después de todo, es obvio que para evitar que surjan problemas hay que desplazarse lo más a la izquierda posible, es decir, al IDE. Resolver los problemas en esa fase te ofrece la mejor oportunidad de estar más seguro. Pero antes de resolver un problema, hay que encontrarlo.

Aikido tiene una integración con el IDE para informar inmediatamente SAST . Cuando introduces código vulnerable en el IDE, el complemento de Aikido puede detectarlo por ti, como se muestra a continuación.

Pero hay una diferencia importante entre SAST y los de AutoTriage. Además de poder ofrecer una pila completa de ciberseguridad (en lugar de una sola solución dentro de la pila), uno de los principales puntos fuertes de Aikido es reducción de ruido. Cuando Aikido informa de algo, hay muchas posibilidades de que realmente sea explotable.

La forma en que Aikido gestiona reducción de ruido SAST es ignorando automáticamente los resultados en determinados archivos de prueba y ajustando cuidadosamente los patrones codificados para la detección, con el fin de evitar demasiados falsos positivos. Básicamente, se trata de un conjunto completo de herramientas que se utiliza internamente para reducir estos falsos positivos que tanto odian los desarrolladores. Esto reduce significativamente la tasa de falsos positivos. Pero hay otra herramienta adicional en la caja de herramientas: AutoTriage, la capacidad de enviar el código a un LLM para comprender mejor el contexto de ese código, de modo que se puedan filtrar más falsos positivos.

Funciona de la siguiente manera: cuando la SAST informa de un hallazgo, puede pasar el cursor por encima del código subrayado. A continuación, puede hacer clic en «Evaluar el impacto con Aikido AI». Esto activará AutoTriage en segundo plano.

Unos segundos más tarde, aparecerá un mensaje como el que se muestra a continuación. En este caso, se trata de una confirmación de que el SAST es un verdadero positivo y que debes corregirlo antes de crear una solicitud de extracción.

Esta función debería ayudar a los desarrolladores a comprender las posibles vulnerabilidades aún antes. Al trasladar esa responsabilidad a una fase más temprana del proceso de desarrollo, se resuelven muchos gastos generales más adelante.

‍

‍