Zu sagen, man werde „Shift Left“ betreiben, ist einfach; es ist logisch. Schließlich ist es offensichtlich, dass die Vermeidung von Problemen so weit wie möglich nach links, bis in die IDE, verschoben werden sollte. Das Beheben von Problemen in diesem Stadium bietet die beste Chance, sicherer zu sein. Doch bevor man ein Problem behebt, muss man es finden.
Aikido bietet eine IDE-Integration zur sofortigen Meldung von SAST-Ergebnissen. Wenn Sie anfälligen Code in die IDE eingeben, kann Aikidos Plugin diesen für Sie erkennen, wie unten gezeigt.
.png)
Es gibt jedoch einen wichtigen Unterschied zwischen SAST-Ergebnissen und AutoTriage-Ergebnissen. Neben der Fähigkeit, einen kompletten Cybersecurity-Stack anzubieten (im Gegensatz zu einer einzelnen Lösung im Stack), ist eines der wichtigsten Alleinstellungsmerkmale von Aikido die Rauschreduzierung. Wenn Aikido etwas meldet, ist die Wahrscheinlichkeit ziemlich hoch, dass es tatsächlich ausnutzbar ist.
Die Art und Weise, wie Aikido die Rauschreduzierung für SAST-Ergebnisse handhabt, besteht darin, Ergebnisse in bestimmten Testdateien automatisch zu ignorieren und die fest codierten Muster für die Erkennung sorgfältig abzustimmen, um zu viele False Positives zu vermeiden – im Grunde ein ganzes Set an Tooling, das intern verwendet wird, um diese von Entwickelnden so sehr gehassten False Positives zu reduzieren. Dies senkt die False-Positive-Rate erheblich. Eine zusätzliche Waffe im Werkzeugkasten ist jedoch AutoTriage – die Fähigkeit, den Code an ein LLM zu senden, um mehr Kontext dieses Codes zu verstehen, sodass weitere False Positives herausgefiltert werden können.
Es funktioniert wie folgt: Wenn das SAST-Tool ein Ergebnis meldet, können Sie mit der Maus über den unterstrichenen Code fahren. Anschließend können Sie auf „Auswirkungen mit Aikido AI bewerten“ klicken. Dies ruft AutoTriage im Hintergrund auf.
.png)
Wenige Sekunden später erhalten Sie eine Meldung wie die unten gezeigte. In diesem Fall ist es eine Bestätigung, dass das SAST-Ergebnis ein True Positive ist und Sie es beheben sollten, bevor Sie einen Pull Request erstellen.
.png)
Diese Funktion soll Entwickelnden helfen, potenzielle Schwachstellen noch früher zu erkennen. Indem diese Verantwortung früher im Entwicklungsprozess verankert wird, wird später ein Großteil des Mehraufwands vermieden.
