$71.9182.97

Veai выпустила SAST-модуль для локальной проверки кода

РБК Компании

Veai выпустила SAST-инструмент для локальной проверки безопасности Java и Kotlin-проектов прямо в JetBrains IDE. Новый модуль помогает разработчикам и ИБ-командам находить уязвимости в коде, разбирать путь данных и быстрее готовить исправления до релиза.

Veai выпустила SAST-модуль для локальной проверки кода
© РБК Компании

Решение ориентировано на команды, которые разрабатывают корпоративные сервисы, личные кабинеты, API, платежные системы и внутренние приложения с персональными данными. После запуска платформа собирает проект и выполняет анализ уязвимостей. Кодовая база при этом не отправляется на сервер для самой проверки.

По данным IBM Cost of a Data Breach Report 2024, средняя стоимость утечки данных достигла $4,88 млн. В Verizon DBIR 2024 также отмечен рост эксплуатации уязвимостей как начального вектора атак на 180% год к году. На этом фоне для компаний становится важным не только находить потенциальные проблемы, но и быстро понимать, какие из них действительно опасны для релиза, клиентов и данных.

Veai SAST показывает список найденных уязвимостей и путь данных по каждой находке: откуда пришел пользовательский ввод, через какие методы он прошел и в какой точке стал опасным. Разработчик может перейти к нужному месту в редакторе, а затем прикрепить находку к чату Veai. AI-агент помогает объяснить уязвимость, оценить критичность, предложить исправление с учетом контекста проекта и отделить реальную проблему от шумного срабатывания.

«Для enterprise-команд безопасность кода давно стала частью релизного процесса. Но на практике контекст часто разорван: отчет SAST лежит в одном инструменте, код в IDE, обсуждение в чате, тесты у QA. Мы хотим сократить этот путь. Статический анализ дает проверяемые факты по коду, IDE дает проектный контекст, а AI-агент помогает разработчику и ИБ быстрее принять решение по конкретной находке», — прокомментировал представитель Veai.

Новый модуль закрывает распространенные классы уязвимостей, включая SQL, HQL, JPQL, LDAP и OS Command-инъекции, XSS, SSRF, Path Traversal, открытые редиректы и небезопасные конфигурации. Текущий фокус продукта — Java и Kotlin. Поддерживаемые среды: IntelliJ IDEA, OpenIDE, GigaIDE и Android Studio. В планах компании — поддержка Python, Go, C#, JavaScript и TypeScript.

Решение доступно в разных моделях развертывания, включая on-premise, VPC, self-hosted и SaaS. Это позволяет компаниям выбирать контур с учетом требований к защите исходного кода, логов, тестовых данных и результатов анализа.