Dizer que você vai “shift left” é fácil; faz sentido. Afinal, é óbvio que a prevenção de problemas deve ser deslocada o mais à esquerda possível, até a IDE. Resolver problemas nessa fase oferece a melhor chance de ser mais seguro. Mas antes de resolver um problema, você precisa encontrá-lo.
Aikido possui uma integração com a IDE para relatar descobertas de SAST imediatamente. Quando você insere código vulnerável na IDE, o plugin da Aikido pode detectá-lo para você, como mostrado abaixo.
.png)
Mas há uma diferença importante entre as descobertas de SAST e as descobertas de AutoTriage. Além de poder oferecer uma stack completa de cibersegurança (em oposição a uma única solução na stack), um dos principais diferenciais da Aikido é a redução de ruído. Quando a Aikido relata algo, há uma chance razoavelmente alta de que seja realmente explorável.
A forma como a Aikido lida com a redução de ruído para descobertas de SAST é ignorar automaticamente as descobertas em certos arquivos de teste e ajustar cuidadosamente os padrões hardcoded para detecção, a fim de evitar muitos falsos positivos, basicamente, um conjunto completo de ferramentas que é usado internamente para reduzir esses falsos positivos que os desenvolvedores tanto odeiam. Isso reduz significativamente a taxa de falsos positivos. Mas uma “bazuca” adicional na caixa de ferramentas é o AutoTriage – a capacidade de enviar o código para um LLM para entender mais o contexto desse código, de modo que mais falsos positivos possam ser filtrados.
Funciona da seguinte forma: quando a ferramenta SAST relata uma descoberta, você pode passar o mouse sobre o código sublinhado. Em seguida, você pode clicar em “Avaliar impacto com Aikido AI”. Isso acionará o AutoTriage em segundo plano.
.png)
Poucos segundos depois, você receberá uma mensagem como a mostrada abaixo. Neste caso, é uma confirmação de que a descoberta de SAST é um verdadeiro positivo e você deve corrigi-la antes de criar um pull request.
.png)
Este recurso deve ajudar os desenvolvedores a entender vulnerabilidades potenciais ainda mais cedo. Ao mover essa responsabilidade para mais cedo no processo de desenvolvimento, muita sobrecarga é resolvida mais adiante.
