«Т‑Банк» объявил о запуске собственного искусственного интеллекта для поддержки процессов безопасной разработки — Safeliner. Новый цифровой помощник помогает снизить нагрузку на команды разработки, ускоряет обнаружение и устранение уязвимостей, а также предотвращает ошибки безопасности ещё на ранних этапах программирования.
По предварительным расчётам, внедрение Safeliner позволит Группе «Т‑Технологии» ежегодно экономить свыше одного миллиарда рублей. В дальнейшем банк планирует открыть доступ к решению для внешних компаний — несколько партнёров уже участвуют в пилотном тестировании продукта.
Возможности Safeliner включают:
ИИ‑ассистент использует обогащённый контекст, включающий внутреннюю документацию, отраслевые стандарты (например, OWASP), графовые модели кода (AST, DFG, CFG), данные из SARIF-отчетов и пользовательскую разметку.
Safeliner был внедрён в ИТ-среду «Т‑Банка» в августе 2024 года и используется для внутренних нужд. Уже сейчас банк отмечает до пятикратного ускорения процессов выявления и устранения уязвимостей. Решение работает в рамках корпоративной инфраструктуры без обращения к внешним API и сторонним сервисам, а для разработчиков интегрировано в привычную рабочую среду GitLab. Исправления кода генерируются автоматически, и специалисту остаётся только подтвердить предлагаемые изменения.
Как пояснил Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности «Т‑Банка»: «В условиях высокого спроса на опытных ИТ‑специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создаёт дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости ещё на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика».
По предварительным расчётам, внедрение Safeliner позволит Группе «Т‑Технологии» ежегодно экономить свыше одного миллиарда рублей. В дальнейшем банк планирует открыть доступ к решению для внешних компаний — несколько партнёров уже участвуют в пилотном тестировании продукта.
Возможности Safeliner включают:
- анализ результатов статического анализа кода (SAST);
- поддержку формата SARIF — универсального стандарта для представления результатов анализа;
- фильтрацию ложноположительных срабатываний;
- генерацию понятных рекомендаций и пояснений по найденным уязвимостям с помощью больших языковых моделей (LLM);
- автоматическое предложение вариантов исправлений с учетом внутренней базы знаний;
- сбор обратной связи от разработчиков для улучшения алгоритмов анализа и устранения уязвимостей.
ИИ‑ассистент использует обогащённый контекст, включающий внутреннюю документацию, отраслевые стандарты (например, OWASP), графовые модели кода (AST, DFG, CFG), данные из SARIF-отчетов и пользовательскую разметку.
Safeliner был внедрён в ИТ-среду «Т‑Банка» в августе 2024 года и используется для внутренних нужд. Уже сейчас банк отмечает до пятикратного ускорения процессов выявления и устранения уязвимостей. Решение работает в рамках корпоративной инфраструктуры без обращения к внешним API и сторонним сервисам, а для разработчиков интегрировано в привычную рабочую среду GitLab. Исправления кода генерируются автоматически, и специалисту остаётся только подтвердить предлагаемые изменения.
Как пояснил Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности «Т‑Банка»: «В условиях высокого спроса на опытных ИТ‑специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создаёт дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости ещё на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика».
