безопасность облачного кодаНовая возможность, встроенная в Cloud Code в Интернете, теперь доступна в ограниченной предварительной версии. Он сканирует кодовую базу на наличие уязвимостей безопасности и предлагает целевые исправления программного обеспечения для проверки человеком, что позволяет командам находить и устранять проблемы безопасности, которые часто упускаются из виду традиционными методами.
Команды безопасности сталкиваются с общей проблемой: слишком много уязвимостей в программном обеспечении и недостаточно людей для их устранения. Существующие инструменты анализа помогают, но лишь до определенного момента, поскольку они обычно ищут известные закономерности. Для обнаружения тонких, контекстно-зависимых уязвимостей, которые часто используются злоумышленниками, требуются квалифицированные исследователи, которым приходится иметь дело с постоянно растущим количеством невыполненных задач.
ИИ начинает менять эти расчеты. Недавно мы продемонстрировали, что облако может обнаруживать новые уязвимости высокой степени опасности. Но те же возможности, которые помогают защитникам находить и устранять уязвимости, могут помочь злоумышленникам их использовать.
Cloud Code Security стремится передать эту власть в руки защитников и защитить код от нового класса атак с использованием искусственного интеллекта. Мы выпускаем его в качестве ограниченной исследовательской предварительной версии для корпоративных клиентов и групповых клиентов с мгновенным доступом для сопровождающих репозитория с открытым исходным кодом, чтобы мы могли вместе работать над усовершенствованием его возможностей и обеспечением его ответственного развертывания.
Как работает безопасность облачного кода
Статический анализ — широко распространенная форма автоматического тестирования безопасности — обычно основан на правилах, то есть сопоставляет код с известными шаблонами уязвимостей. Это выявляет распространенные проблемы, такие как открытые пароли или устаревшее шифрование, но часто упускает из виду более сложные уязвимости, такие как ошибки в бизнес-логике или нарушение контроля доступа.
Вместо сканирования известных шаблонов Cloud Code Security считывает ваш код и анализирует его так, как это делает исследователь безопасности человека: понимает, как взаимодействуют компоненты, выясняет, как данные перемещаются через ваше приложение, и выявляет сложные уязвимости, которые пропускают инструменты, основанные на правилах.
Каждый вывод проходит многоступенчатую проверку, прежде чем попасть к аналитику. Облако дважды проверяет каждый результат, пытаясь доказать или опровергнуть собственные выводы и отфильтровывать ложные срабатывания. Выводам также присваивается рейтинг серьезности, чтобы команды могли в первую очередь сосредоточиться на наиболее важных улучшениях.
Подтвержденные результаты отображаются на панели управления Cloud Code Security, где команды могут их просматривать, проверять предлагаемые исправления и утверждать исправления. Поскольку эти проблемы часто связаны с нюансами, которые трудно оценить только по исходному коду, облако также предоставляет рейтинг достоверности для каждого вывода. Ничто не реализуется без одобрения человека: Cloud Code Security выявляет проблемы и предлагает решения, но разработчики всегда на связи.
Использование облака для кибербезопасности
Cloud Code Security основан на более чем годичных исследованиях возможностей облачной кибербезопасности. Наша команда Frontier Red систематически проводит стресс-тестирование этих возможностей: привлекает облако к конкурентным мероприятиям по захвату флага, сотрудничает с Тихоокеанской северо-западной национальной лабораторией для использования искусственного интеллекта для защиты критически важной инфраструктуры, а также совершенствует способность облака находить и исправлять реальные уязвимости в коде.
В результате киберзащитные возможности облака значительно улучшились. Используя Cloud Opus 4.6, выпущенный ранее в этом месяце, наша команда обнаружила более 500 уязвимостей в производственной базе кода с открытым исходным кодом — ошибок, которые были неизвестны на протяжении десятилетий, несмотря на годы экспертной проверки. Сейчас мы работаем над сортировкой и ответственным раскрытием информации вместе с сопровождающими и планируем расширить нашу работу по обеспечению безопасности с сообществом открытого исходного кода.
Мы также используем облако для проверки нашего собственного кода и обнаружили, что оно чрезвычайно эффективно для защиты систем Anthropic. Мы создали Cloud Code Security, чтобы сделать те же самые защитные возможности более широко доступными. А поскольку он построен на облачном коде, команды могут анализировать результаты и вносить улучшения в инструменты, которые они уже используют.
путь вперед
Это критическое время для кибербезопасности. Мы ожидаем, что значительная часть мирового кода будет просканирована искусственным интеллектом в ближайшем будущем, учитывая, насколько эффективными стали модели для поиска давно скрытых ошибок и проблем безопасности.
Злоумышленники будут использовать ИИ для поиска уязвимостей быстрее, чем когда-либо прежде. Но защитники, которые действуют быстрее, могут найти те же самые уязвимости, исправить их и снизить риск нападения. Безопасность облачного кода — это шаг к нашей цели — более безопасной кодовой базе и более высокому базовому уровню безопасности во всей отрасли.
запуск
Сегодня мы открываем ограниченную предварительную исследовательскую версию Cloud Code Security для корпоративных и командных клиентов. Участники получат ранний доступ и смогут напрямую сотрудничать с нашей командой для улучшения возможностей инструмента. Мы также призываем разработчиков программного обеспечения с открытым исходным кодом подать заявку на получение бесплатного мгновенного доступа.
Подайте заявку на доступ здесь.
Чтобы узнать больше, посетите claude.com/solutions/cloud-code-security.
