「シフトレフト」を提唱するのは簡単で、理にかなっています。結局のところ、問題の発生を防ぐことはIDEの段階まで「左にシフト」すべきであることは明らかです。その段階で問題を解決することで、より安全性を高める最善の機会が得られます。しかし、問題を解決する前に、それを見つける必要があります。
Aikidoは、SASTの検出結果を即座に報告するためのIDE統合を提供しています。IDEで脆弱なコードを入力すると、以下に示すようにAikidoのプラグインがそれを検出できます。
.png)
しかし、SASTの検出結果とAutoTriageの検出結果には重要な違いがあります。Aikidoの主要なユニークセリングポイントの1つは、完全なサイバーセキュリティスタックを提供できること(スタック内の単一ソリューションとは対照的に)に加えて、ノイズ削減です。Aikidoが何かを報告する場合、それが実際にエクスプロイト可能である可能性はかなり高いです。
AikidoがSASTの検出結果に対するノイズリダクションを処理する方法は、特定のテストファイル内の検出結果を自動的に無視し、検出用のハードコードされたパターンを慎重に調整して、開発者が嫌う多くの誤検知を避けることです。これは基本的に、これらの誤検知を減らすために内部で使用されるツールセット全体です。これにより、誤検知率が大幅に削減されます。しかし、ツールボックスの追加の切り札はAutoTriageです。これは、コードをLLMに送信してそのコードのコンテキストをより深く理解させ、さらに多くの誤検知を除外する機能です。
次のように機能します。SASTツールが検出結果を報告すると、下線が引かれたコードにカーソルを合わせることができます。次に、「Assess impact with Aikido AI」をクリックします。これにより、バックグラウンドでAutoTriageが呼び出されます。
.png)
数秒後、以下に示すようなメッセージが表示されます。この場合、SASTの検出結果が真陽性であり、プルリクエストを作成する前に修正する必要があるという確認です。
.png)
この機能は、開発者が潜在的な脆弱性をさらに早期に理解するのに役立つはずです。その責任を開発プロセスのより早い段階に移行することで、後工程での多くのオーバーヘッドが解消されます。
