Антон Михайлов (ITD Group) про AI-агента в SAST, CVE в коде, подходы ASOC и ASPM

Редакция CISOCLUB посетила Positive Hack Days Fest 2025 и записала интервью с Антоном Михайловым, product owner SASTAV, ITD Group. Вопросы: 0:17 В чем основные ограничения традиционных SAST-решений на основе статических наборов правил, и почему вы считаете, что развитие в сторону AI-агента принесет другой результат? 1:14 Как вы рассматриваете конкретные уязвимости (CVE) на уровне кода, когда исторически это всегда проверяется на уровне SCA, а на уровне кода стандартные SAST смотрят в сторону CWE? 2:45 В чем отличие подходов ASOC и ASPM от классических CI/CD-инструментов DevSecOps, и как на эти подходы ложится ваша AI-генерация правил? 4:58 Что можно сделать для того, чтобы снизить False Positive при таком подходе? Какие узкие места вы видите, и на какие метрики вы опираетесь? 6:43 У вас уже есть такой полностью готовый функционал? Сколько длились исследования, и как вы думаете, будет ли кто-то еще делать шаги в эту сторону? Реклама. ООО "АЙТИДИ", ИНН: 7725333433, Erid: 2SDnjdTyaRK Подписывайтесь на CISOCLUB: https://www.youtube.com/c/CISOCLUB?sub_confirmation=1 https://vk.com/cisoclub https://t.me/CISOclub https://dzen.ru/cisoclub?favid=254165162 https://rutube.ru/channel/25483878/ https://x.com/CisoClubru