Антон Михайлов (ITD Group) про AI-агента в SAST, CVE в коде, подходы ASOC и ASPM

Редакция CISOCLUB посетила Positive Hack Days Fest 2025 и записала интервью с Антоном Михайловым, product owner SASTAV, ITD Group.

Вопросы:

0:17 В чем основные ограничения традиционных SAST-решений на основе статических наборов правил, и почему вы считаете, что развитие в сторону AI-агента принесет другой результат?

1:14 Как вы рассматриваете конкретные уязвимости (CVE) на уровне кода, когда исторически это всегда проверяется на уровне SCA, а на уровне кода стандартные SAST смотрят в сторону CWE?

2:45 В чем отличие подходов ASOC и ASPM от классических CI/CD-инструментов DevSecOps, и как на эти подходы ложится ваша AI-генерация правил?

4:58 Что можно сделать для того, чтобы снизить False Positive при таком подходе? Какие узкие места вы видите, и на какие метрики вы опираетесь?

6:43 У вас уже есть такой полностью готовый функционал? Сколько длились исследования, и как вы думаете, будет ли кто-то еще делать шаги в эту сторону?

Реклама. ООО «АЙТИДИ», ИНН: 7725333433, Erid: 2SDnjdTyaRK