Трансформер в on-premise AppSec: как мы встроили ML-модель для классификации секретов в продукт без GPU

Рассказываем, как мы интегрировали CodeBERT-based модель классификации секретов в production-продукт с жёсткими ограничениями по железу, сократив время инференса с 320 до 90 секунд и размер модели с ~600 до ~130 МБ — без дискретных ускорителей и тяжёлых зависимостей.

https://habr.com/ru/companies/codescoring/articles/1040968/

#appsec #onnx #mlops #opensource #оптимизация #codescoring #ml

Как мы в CodeScoring модель для поиска секретов готовили

Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM.

https://habr.com/ru/companies/codescoring/articles/1019956/

#secrets #security #ml #ai #codescoring #llm #безопасность #безопасность_приложений #секреты #devsecops

Агностичность к менеджерам репозиториев: новый подход к OSA-анализу

Привет! Это Angara Security и наш эксперт отдела безопасной разработки Андрей Быстров. Совсем недавно состоялся релиз OSA Proxy , нового модуля продукта CodeScoring.OSA. В этой статье попробуем разобраться в задачах данного модуля и подходах к его использованию. Начать стоит с основ: каким образом реализуется проверка программного обеспечения с открытым исходным кодом в инструментах композиционного анализа на этапе OSA? Для наглядности приведем простую схему. Она также будет полезна в дальнейшем для сравнения архитектурных подходов к задаче проверки Open Source зависимостей.

https://habr.com/ru/companies/angarasecurity/articles/978098/

#codescoring #osa #open_source #репозитории #разработка

Разглядываем CodeScoring с помощью Natch

ГОСТ Р 56939-2024 описывает общие требования к процессам разработки безопасного ПО – от образования, до технической поддержки, от статического, до динамического анализа, однако особое внимание уделяется определению поверхности атаки, то есть поиску множества потенциально уязвимых функций и модулей ПО, занимающихся обработкой пользовательских данных или чувствительной информации, а также интерфейсов, через которые эти данные поступают. Обычно поверхность атаки определяют экспертным методом, однако тут же возникает вопрос полноты этого метода: что если эксперт пропустил действительно важные функции, участвующие в обработке данных, поскольку ПО имеет распределенную архитектуру, за потоком данных которой очень сложно следить извне, или выбрал такие функции для фаззинга, которые даже не задействованы при обработке пользовательских данных? Какие тогда функции выбирать?

https://habr.com/ru/companies/isp_ras/articles/892548/

#natch #codescoring