DevSecOps Talks

Использование AI для анализа CVE

Всем привет!

В статье описан опыт NVidia по анализу CVE в контейнеризованных приложениях с использованием AI.

Проблематика известная и понятна: «традиционный подход» -
проанализировать и использовать обновление – на больших масштабах работает не очень хорошо.

Особенно с учетом того, что многие результаты не релевантны: сканер ошибся, уязвимый метод не достижим, не рассматривается контекст (например, используемые меры защиты или окружение, в котором разворачивается ПО).

Если рассматривать процесс управления уязвимостями, как последовательность шагов «Scan», «Investigate», «Decide», «Mitigate» и «Publish», то перед NVidia стояла задача сокращения этапа «Investigate».

На этом этапе как раз и определяется – является ли уязвимость эксплуатируемой или нет, что влияет на следующие шаги процесса и принимаемые решения.

Если кратко, то используется следующий алгоритм:
🍭 Генерируется список действий (проверить наличие уязвимости, наличие JRE и т.д.)
🍭 Каждый элемент списка действий анализируется LLM. При этом используются внешние источники: SBOM-файлы, информация о репозиториях, данные от TI и т.д.
🍭 Завершается все анализом полученных результатов, формирование мнения относительно возможности эксплуатации CVE (в том числе в формате VEX)

Примеры того, как это выглядит можно найти в статье. Кроме того, есть краткое описание процесса по управлению уязвимостями, реализованном в NVidia: от момента помещения нового контейнера в реестр до формирования VEX-файлов.

NVIDIA Technical Blog

Applying Generative AI for CVE Analysis at an Enterprise Scale

The software development and deployment process is complex. Modern enterprise applications have complex software dependencies, forming an interconnected web that provides unprecedented functionality…

👍3❤1

www.tgoop.com/devsecops_weekly/1303

2.41K viewsSep 2 at 04:23

Использование AI для анализа CVE

Всем привет!

В статье описан опыт NVidia по анализу CVE в контейнеризованных приложениях с использованием AI.

Проблематика известная и понятна: «традиционный подход» -
проанализировать и использовать обновление – на больших масштабах работает не очень хорошо.

Особенно с учетом того, что многие результаты не релевантны: сканер ошибся, уязвимый метод не достижим, не рассматривается контекст (например, используемые меры защиты или окружение, в котором разворачивается ПО).

Если рассматривать процесс управления уязвимостями, как последовательность шагов «Scan», «Investigate», «Decide», «Mitigate» и «Publish», то перед NVidia стояла задача сокращения этапа «Investigate».

На этом этапе как раз и определяется – является ли уязвимость эксплуатируемой или нет, что влияет на следующие шаги процесса и принимаемые решения.

Если кратко, то используется следующий алгоритм:
🍭 Генерируется список действий (проверить наличие уязвимости, наличие JRE и т.д.)
🍭 Каждый элемент списка действий анализируется LLM. При этом используются внешние источники: SBOM-файлы, информация о репозиториях, данные от TI и т.д.
🍭 Завершается все анализом полученных результатов, формирование мнения относительно возможности эксплуатации CVE (в том числе в формате VEX)

Примеры того, как это выглядит можно найти в статье. Кроме того, есть краткое описание процесса по управлению уязвимостями, реализованном в NVidia: от момента помещения нового контейнера в реестр до формирования VEX-файлов.

BY DevSecOps Talks