[!NOTE] Note
纯漏洞检测、静态分析,与 LLM 无关
软件安全面临着一个长期存在的差距:静态分析工具能够有效地检测漏洞,但它们的技术性输出对于大多数开发人员来说仍然难以理解。这导致了安全债务的不断累积,因为组织必须依赖安全专家进行修复,从而造成瓶颈,延误修复。
本文提出了一种可解释性约定和一个模块化工作流程,可以将原始静态分析器输出转换为清晰、可操作的漏洞报告,供所有开发人员使用,而不仅仅是安全专家。
我们的工具 SECGen 通过解析静态分析器输出并根据我们的约定将其重组为清晰、对开发人员友好的报告来自动化该工作流程,并通过自动化验证来强制执行合规性。
我们通过一项包含 25 名开发人员的用户研究验证了我们的方法,将我们的可解释报告与其他最先进的静态分析器输出进行了比较。结果表明,使用可解释报告的开发人员能够更有效地检测、理解和修复漏洞,只需花费传统报告通常所需时间的 67%,同时编写出更正确的修复方案。其中的关键原因包括参与者更喜欢结构化的报告,其中包含清晰的漏洞描述和可操作的修复建议。