shipgrid

← Все статьи

2026-06-08 · 2 мин

Триаж уязвимостей с ИИ — как перестать тонуть в потоке находок

Почему сканеры безопасности генерируют сотни находок, которые никто не чинит, и как ИИ помогает ранжировать уязвимости по реальному бизнес-риску, а не по абстрактному CVSS.

Любая команда, которая включила SAST, DAST и сканер зависимостей, знает этот эффект: в первый же день прилетает несколько сотен находок. Через неделю их игнорируют все. Проблема не в инструментах — они честно находят. Проблема в триаже: как из потока находок выделить те несколько, которые действительно нужно починить сейчас.

Почему CVSS не решает проблему

Стандартный подход — сортировать находки по CVSS. Но CVSS описывает уязвимость «в вакууме», без учёта вашего контекста:

  • Критичная по CVSS уязвимость в библиотеке, которая не вызывается в проде, — это не приоритет.
  • Средняя по CVSS дыра в публичном эндпоинте, обрабатывающем платежи, — это пожар.

CVSS не знает, какой код реально исполняется, какие данные он обрабатывает и насколько он доступен снаружи. Поэтому сортировка по CVSS даёт длинный список, в котором настоящие риски перемешаны с шумом.

Что значит «триаж по бизнес-риску»

Осмысленный триаж отвечает не на вопрос «насколько серьёзна уязвимость в теории», а на вопрос «что произойдёт, если её проэксплуатируют именно у нас». Для этого нужно учитывать:

  1. Достижимость. Вызывается ли уязвимый код вообще? Доступен ли он снаружи?
  2. Контекст данных. Какие данные проходят через этот путь — публичные, персональные, платёжные?
  3. Эксплуатируемость. Есть ли публичный эксплойт, насколько сложна атака.
  4. Радиус поражения. Что отвалится, если этот компонент скомпрометируют.

Когда находки ранжированы по этим осям, «топ-5 на сегодня» выглядит совсем не так, как «топ-5 по CVSS».

Где здесь ИИ

ИИ полезен не тем, что «находит больше уязвимостей» — для этого есть сканеры. Он полезен на этапе триажа и объяснения:

  • сопоставляет находку с реальным путём вызова и архитектурой сервиса;
  • объясняет на человеческом языке, почему это эксплуатируемо именно в вашем коде;
  • предлагает конкретный путь исправления, а не ссылку на CVE.

Это снимает главное трение между AppSec и разработчиками: вместо спора «это важно / это шум» обе стороны видят один и тот же обоснованный приоритет.

Как это выглядит в ShipGrid

Находки безопасности в ShipGrid ранжируются по бизнес-влиянию и эксплуатируемости, а не по голому CVSS. К каждой прикладывается контекст: где это в коде, почему достижимо, что за данные на пути и как чинить. Безопасность и разработка работают по одному списку — и спорят о решениях, а не о приоритетах.

Главное

  • Сканеры находят, но не приоритизируют — и в этом корень проблемы.
  • CVSS без контекста создаёт шум, а не безопасность.
  • Триаж по реальному риску + понятное объяснение превращают сотни находок в короткий список действий.

Тонете в находках сканеров? Свяжитесь с нами — покажем, как выглядит триаж по реальному риску на вашем коде.