DevSecOps Talks@devsecops_weekly P.1308

DEVSECOPS_WEEKLY Telegram 1308

DevSecOps Talks

Поиск ИБ-дефектов в исходном коде с использованием LLM

Всем привет!

Команда Semgrep провела небольшое исследование. Они использовали Claude Code и OpenAI Codex для поиска ИБ-дефектов в исходных кодах 11 популярных Python-приложений.

Суммарно было найдено более 400 ИБ-дефектов, которые команда проверила.

Получилось следующее:
🍭 Claude нашел 46 ИБ-дефектов (14% - TPR, 86% - FPR)
🍭 Codex – 21 ИБ-дефект (18% TPR, 82% FPR)
🍭 Лучше всего получалось находить IDOR (Claude) и Path Traversal (Codex)
🍭 Самой большой сложностью был taint-анализ среди нескольких файлов
🍭 И да, нюансы с идемпотентностью никуда не делись. Разные запуски могли давать разные результаты

Детали исследования можно найти в статье (а там много всего интересного).

Из приятного – у Semgrep есть мысли о том, чтобы отдать полученный dataset в «общественное использование» ☺️

Finding vulnerabilities in modern web apps using Claude Code and OpenAI Codex

Our deep dive into AI Coding Agents capabilities for finding security vulnerabilities reveals surprising strengths, critical weaknesses, and a serious problem with consistency.

👍4🔥3❤1

www.tgoop.com/devsecops_weekly/1308

2.6K viewsSep 8 at 04:23

tgoop.com/devsecops_weekly/1308

Create: 2025-09-08
Last Update: 2025-10-23 08:43:09

Поиск ИБ-дефектов в исходном коде с использованием LLM

Всем привет!

Команда Semgrep провела небольшое исследование. Они использовали Claude Code и OpenAI Codex для поиска ИБ-дефектов в исходных кодах 11 популярных Python-приложений.

Суммарно было найдено более 400 ИБ-дефектов, которые команда проверила.

Получилось следующее:
🍭 Claude нашел 46 ИБ-дефектов (14% - TPR, 86% - FPR)
🍭 Codex – 21 ИБ-дефект (18% TPR, 82% FPR)
🍭 Лучше всего получалось находить IDOR (Claude) и Path Traversal (Codex)
🍭 Самой большой сложностью был taint-анализ среди нескольких файлов
🍭 И да, нюансы с идемпотентностью никуда не делись. Разные запуски могли давать разные результаты

Детали исследования можно найти в статье (а там много всего интересного).

Из приятного – у Semgrep есть мысли о том, чтобы отдать полученный dataset в «общественное использование» ☺️

BY DevSecOps Talks

Share with your friend now:
tgoop.com/devsecops_weekly/1308

Open in Telegram

Telegram News

Date: 2025-10-23|

Invite up to 200 users from your contacts to join your channel How to create a business channel on Telegram? (Tutorial) ZDNET RECOMMENDS Those being doxxed include outgoing Chief Executive Carrie Lam Cheng Yuet-ngor, Chung and police assistant commissioner Joe Chan Tung, who heads police's cyber security and technology crime bureau. As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces.
from us

Telegram DevSecOps Talks
FROM American