A promessa de testes estáticos de segurança de aplicativos (SAST) sempre foi o sonho de “mudança para a esquerda”, detectando vulnerabilidades antes mesmo de elas chegarem à produção. Mas, durante demasiado tempo, essa promessa foi minada por uma realidade frustrante, com um volume esmagador de alertas e elevadas taxas de falsos positivos. Esse ruído pode levar à fadiga de alertas, perda de tempo do desenvolvedor e perda de confiança nas próprias ferramentas projetadas para proteger nossa base de código.
Enquanto isso, como vemos, os grandes modelos de linguagem (LLMs) surgiram como poderosas ferramentas de análise de código, capazes de reconhecimento de padrões e geração de código. No entanto, eles sofrem com as suas próprias fraquezas, processamento lento, inconsistência e potencial para alucinações.
Na nossa opinião, o caminho para a segurança do código da próxima geração não é escolher um em vez de outro, mas integrar os seus pontos fortes. Então, junto com Kiarash Ahi, fundador do Virelya Intelligence Research Labs e coautor da estrutura, decidi fazer exatamente isso. Nossa nova estrutura híbrida combina o rigor determinístico e a velocidade do SAST tradicional com o raciocínio contextual de um LLM ajustado para fornecer um sistema que não apenas encontra vulnerabilidades, mas também as valida. Os resultados que alcançamos foram impressionantes: uma redução de 91% nos falsos positivos em comparação com ferramentas SAST independentes, transformando a segurança de uma carga reativa em um processo integrado e mais eficiente.
