«Т‑Банк» сообщил о создании ИИ‑ассистента по информационной безопасности под названием Safeliner

«Т‑Банк» сообщил о создании ИИ‑ассистента по информационной безопасности под названием Safeliner. Решение значительно снижает нагрузку на разработчиков благодаря оптимизации кода в экосистеме компании, умеет быстро реагировать на угрозы и не допускать появление уязвимостей в коде на этапе разработки.

«Использование ИИ‑ассистента Safeliner, по предварительным оценкам, поможет сэкономить Группе „Т‑Технологии“ более 1 млрд рублей в год. В будущем „Т‑Банк“ планирует открыть доступ к Safeliner другим компаниям на рынке. Несколько партнёров уже тестируют этот продукт», — рассказали в «Т‑Банке».

Проект Safeliner умеет:

• анализировать отчёты инструментов статического анализа (SAST);

• позволяет работать с любыми отчётами в формате SARIF — стандартном формате для обмена данными о результатах статического анализа кода;

• отфильтровывает ложные срабатывания;

• генерирует понятные разработчикам подсказки и описания проблем безопасности с помощью БЯМ (LLM);

• предлагает варианты автоматического исправления уязвимостей с учётом корпоративной базы знаний;

• занимается сбором обратной связи от разработчиков по найденным уязвимостям для дальнейшего анализа этой информации и ее использования для корректировки правил поиска и алгоритмов исправления уязвимостей.

Контекст Safeliner обогащается на основе множества связанных источников данных, таких как:

• внутренняя база знаний;

• индустриальные стандарты и рекомендации от сообществ (например, OWASP);

• анализ графового представления кода (AST, DFG, CFG);

• описание уязвимости из отчета SARIF;

• разметка пользователя.

Внедрение ИИ‑ассистента Safeliner в «Т‑Банка» произошло в августе 2024 года. Проект применяется для внутренних задач компании. В результате внедрения Safeliner процессы поиска и исправления уязвимостей в «Т‑Банке» ускорились до 5 раз. ИИ‑ассистент создан в привычной для разработчиков среде GitLab и использует большую языковую модель для генерации подсказок, а также исправлений в коде — разработчику нужно лишь принять исправление. Все модели в рамках проекта Safeliner работают внутри корпоративного контура — внешние API и сторонние сервисы не используются.

«В условиях высокого спроса на опытных ИТ‑специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создаёт дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости ещё на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика», — пояснил вице‑президент, директор департамента информационной безопасности «Т‑Банка» Дмитрий Гадарь.