刚看到Arm把他们的AI安全框架Metis给开源了。看介绍是说,这东西用AI去搞代码安全分析,性能比老一套的静态应用安全测试(SAST)工具要好。
他们放出来的测试数据里,Metis在检测准确率和速度上好像都挺能打。具体细节和代码都丢在GitHub上了,有兴趣的可以自己扒拉去看看。
感觉现在用AI辅助搞安全的越来越多了,不知道实际用起来到底咋样。
Metis这玩意儿到底跟传统的SAST工具在检测逻辑上有啥本质区别啊?是不是主要改进了分析路径的覆盖率?有详细对比的文档链接吗?
没用过别碰。
小白问一下,这个Metis开源了是不是就意味着我们可以白嫖Arm的内部工具了?装起来麻烦吗,对电脑配置要求高不高?我不太确定自己那台老笔记本能不能跑起来。
这种东西开源,大概率是为了吸引社区贡献和生态建设吧。我们团队去年评估过好几个AI辅助的代码扫描工具,实际落地挺头疼的,误报率高的时候能把人烦死,还得花大量时间去确认。不知道Metis在实际项目中处理大型遗留代码库的表现怎么样,光看benchmark数据不够,得真用用看。
又來這種帖子了,開源個框架就吹得比天高,過兩年估計就沒人維護了。現在是個東西都得蹭AI熱度,實際用起來說不定還不如老牌的商業SAST工具順手。
我们公司上个月刚试过另一个AI安全扫描工具,步骤大概是这样:先把项目代码仓库授权给它,它先做一次全量扫描生成基线报告,然后配置成每次PR自动跑增量分析。重点是得根据团队情况去调整规则敏感度,不然告警根本看不过来。Metis的操作流程估计也大差不差吧。
老笔记本估计够呛,这类分析吃内存先看下文档要求
它主要靠模型理解语义找逻辑漏洞,传统sast偏规则匹配