Дослідження впливу генеративного штучного інтелекту на аналіз результатів статичного сканування коду за допомогою статичного аналізатора Bearer CLI

Мета роботи: дослідити можливості генеративного штучного інтелекту для покращення інтерпретації результатів статичного сканування коду за допомогою інструмента Bearer CLI. Метод: кількісні та експериментальні методи, зокрема застосування великих мовних моделей для обробки результатів SAST-аналізу, а також експертного оцінювання авторами їхньої точності, корисності, узгодженості та обґрунтованості оцінки наслідків ризиків за допомогою статистичного аналізу на основі 5-бальної шкали. Результати дослідження: було проведено оцінку п'яти популярних великих мовних моделей (GPT-4o, GPT-4.5, GPT-o3-mini-high, Gemini 2.5 Pro, Claude 3.7 Sonnet) щодо їхньої здатності покращувати аналіз результатів статичного сканування Bearer CLI для трьох типів вразливостей. Порівняльний аналіз за критеріями точності, корисності, узгодженості та оцінки бізнес-впливу показав, що інтеграція генеративного ШІ суттєво покращує інтерпретацію стандартного виводу інструмента. Найвищу ефективність за сукупністю критеріїв продемонструвала модель Gemini 2.5 Pro, що підтверджує значний потенціал ШІ для якісного та доступного аналізу SAST-звітів. Теоретична цінність дослідження: дослідження поглиблює розуміння можливостей генеративного ШІ для ефективнішого аналізу результатів SAST-аналізаторів, демонструючи їх потенціал у наданні точніших пояснень та виправлень вразливостей, що є теоретичною основою для майбутніх досліджень в автоматизації безпеки коду. Практична цінність дослідження: отримані результати можуть стати базою для поліпшення інструментів статичного аналізу, таких як Bearer CLI. Це допоможе розробникам швидше орієнтуватися в результатах сканування і оперативно реагувати на потенційні загрози. Цінність дослідження: дослідження демонструє, як застосування ШІ для аналізу результатів статичного сканування дозволяє знизити кількість хибнопозитивних спрацювань, зробити звіти більш зрозумілими та ефективно виявляти реальні вразливості, що сприяє підвищенню безпеки коду на ранніх етапах розробки. Майбутні дослідження: глибша інтеграція LLM в статичний аналіз, адаптація моделей для різних мов програмування, оцінка ефективності в реальних проєктах. Тип статті: емпіричне дослідження.