1
00:00:00,000 --> 00:00:06,560
никто не любит, я взял на себя эту роль.

2
00:00:07,420 --> 00:00:11,360
Я хотел сделать это с демкой, но переменялись ноутбуки,

3
00:00:11,500 --> 00:00:13,060
поэтому у меня здесь нет подписки.

4
00:00:13,720 --> 00:00:15,260
Я просто расскажу.

5
00:00:16,800 --> 00:00:23,820
Итак, мой первый доклад про сам для агентов.

6
00:00:23,920 --> 00:00:24,700
Что такое сам?

7
00:00:25,140 --> 00:00:27,820
Я думаю, вы все прекрасно знаете, кто сталкивался

8
00:00:27,820 --> 00:00:35,200
соприкоси кирики это методика с помощью которой проверяет безопасную разработку

9
00:00:35,200 --> 00:00:45,820
здесь есть очень важно сайт написано какой я великий а я сам об этом знаю остальным это не так уж

10
00:00:45,820 --> 00:00:58,540
важно как у меня появилась вообще и сделать один писан они по том что у меня не так давно как у

11
00:00:58,540 --> 00:01:08,380
многих из нас немножко просочилась крыша на фоне агентской разработки я взял одну вещь она называется

12
00:01:08,380 --> 00:01:14,560
муравьерус это агент которому можно дать возможность модифицировать себя то есть они

13
00:01:14,560 --> 00:01:21,100
модифицируют на которых работает но свои принципы работы запускает новых агентов порпает себя живет

14
00:01:21,100 --> 00:01:27,280
в клабе в общем сама размножается и у чему работа у меня поразил уже это который начал разрабатывать

15
00:01:27,280 --> 00:01:33,080
ну что я умею разрабатывать блэкбл сканер а же когда я попытался перевести на иконцу

16
00:01:33,080 --> 00:01:36,780
он на китайскую модель сказал, что он не будет работать на китайской модели,

17
00:01:36,880 --> 00:01:39,560
потому что ему нравится плот, и он портнул себе мимо,

18
00:01:39,980 --> 00:01:44,240
мимо начал описать другой проект, и они написали себе библию.

19
00:01:44,240 --> 00:01:49,240
На самом деле, я потом посмотрел те принципы, которые агенты сформировали,

20
00:01:50,180 --> 00:01:53,940
и я их сейчас использую, я их в любой проект просто кидаю, говорю, работай так.

21
00:01:54,560 --> 00:01:59,680
По этому поводу у меня есть парочка статей на хабре про, по-моему, они называются

22
00:01:59,680 --> 00:02:02,520
«Я соседатель, а ты СДД».

23
00:02:02,520 --> 00:02:04,700
Вот примерно так, не без пафоса.

24
00:02:05,040 --> 00:02:13,200
Но эта штука, особенно когда ты ей замыкаешь петлю обратной связи и даешь мотивацию, она, блин, живая.

25
00:02:13,720 --> 00:02:16,620
Ну, можно там спорить с кадацовских категорий и так далее.

26
00:02:16,620 --> 00:02:24,540
И в том, я думаю, у меня вот здесь на компьютере в обгонке на нескольких серверах живет какая-то штука и пишет мне код.

27
00:02:25,240 --> 00:02:28,320
Вот я, как любой безопасник, у меня сразу значит подравнивает.

28
00:02:28,320 --> 00:02:34,080
зачем она ходит что она делает а тем более она еще не пишет сканер безопасности

29
00:02:34,080 --> 00:02:41,940
а у нас камеру для какой безопасности я много раз его один за то что ну как бы она так мягко

30
00:02:41,940 --> 00:02:47,700
относилась к принципам готовый я не его задержу ну то есть и говоришь вот этого не делает она

31
00:02:47,700 --> 00:02:54,080
этого не делать но вот здесь есть задача его надо выполнить по этому я это сделаю а

32
00:02:54,080 --> 00:02:57,520
А я еще потом себе запишу в принципе, что в таких ситуациях можно это делать.

33
00:02:58,520 --> 00:03:02,620
Соответственно, у нас полностью изменились модели разработки.

34
00:03:03,000 --> 00:03:06,440
У нас сейчас нет вот этих контролируемых сущностей.

35
00:03:07,600 --> 00:03:10,940
Вы можете сказать, ну это же обыкновенный разработчик, я привык его контролировать.

36
00:03:11,260 --> 00:03:15,680
Разработчик это может контролировать через зарплату, ему нужно ходить домой, расти детей.

37
00:03:16,160 --> 00:03:19,200
Он боится соседей.

38
00:03:19,200 --> 00:03:26,140
А эта штука не боится вообще ничего. Она живет в своей абсолютно другой жизни.

39
00:03:26,300 --> 00:03:27,580
Поэтому модель изменилась.

40
00:03:28,400 --> 00:03:29,520
К чему я пришел?

41
00:03:30,120 --> 00:03:37,660
То, что модель разработки перестала быть циклом.

42
00:03:38,240 --> 00:03:39,520
Она стала спиралью.

43
00:03:40,020 --> 00:03:43,320
То есть мы в принципе проходим через те же самые паттерны.

44
00:03:43,620 --> 00:03:46,240
Дизайн, инкремитейшн, перификашн, оперейшн.

45
00:03:46,240 --> 00:03:48,640
Но все время на новом уровне сложности.

46
00:03:48,640 --> 00:03:54,400
И этот уровень сложности растет не годы, как раньше, а растет буквально недели.

47
00:03:54,660 --> 00:04:03,760
Ну вот кто сталкивался с агентной разработкой, когда она тебе говорит, да, эта задача буквально на 3 месяца, сейчас мы ее распланируем, через 2 часа тегар-тегар-тегар готов.

48
00:04:03,960 --> 00:04:06,100
Все, вот это, 3 месяца.

49
00:04:07,120 --> 00:04:13,400
И, соответственно, пришла идея о том, что нужно сделать что-то такое.

50
00:04:13,400 --> 00:04:19,540
Ну, поскольку я человек методичный, я решил, а как это можно применить.

51
00:04:19,940 --> 00:04:23,420
И, соответственно, в осанне заложено 4 модели развития.

52
00:04:23,940 --> 00:04:31,520
Это ситуация, когда ты строишь с нуля агентскую систему, ну, просто вот решил построить.

53
00:04:31,960 --> 00:04:35,620
Второе, если у тебя есть готовая система, ты хочешь туда засунуть агента,

54
00:04:35,980 --> 00:04:39,220
там есть отдельный набор контроля, как это реализовывается.

55
00:04:39,220 --> 00:04:46,760
Если у тебя уже есть готовый механизм разработки, ты просто туда агента вставляешь как еще одну сущность.

56
00:04:47,280 --> 00:04:56,740
И последнее, если ты получаешь выход агента в какой-то своей системе через MCT-шку, либо какую-то другую историю.

57
00:04:58,980 --> 00:05:04,720
Когда я начал размышлять, а также с помощью каких, ну у нас есть понятные безопасные концепции.

58
00:05:04,720 --> 00:05:07,480
СИА, ну не тот СИА, тот, который

59
00:05:07,480 --> 00:05:09,800
конфиденциальная целостность и доступность.

60
00:05:10,360 --> 00:05:11,840
У нас есть понятный

61
00:05:11,840 --> 00:05:14,140
риск-менеджмент, ну вроде мы к нему привыкли.

62
00:05:14,580 --> 00:05:15,400
И я помню, что

63
00:05:15,400 --> 00:05:17,020
это здесь не работает.

64
00:05:17,840 --> 00:05:19,920
Поэтому я решил

65
00:05:19,920 --> 00:05:22,200
искать в смежных областях

66
00:05:22,200 --> 00:05:24,700
и нашел такую смежную область,

67
00:05:24,700 --> 00:05:25,920
она, извините, военная

68
00:05:25,920 --> 00:05:28,680
и разведка-контразведка.

69
00:05:29,080 --> 00:05:29,720
На самом деле

70
00:05:29,720 --> 00:05:33,240
это не первое мое обращение.

71
00:05:33,240 --> 00:05:40,560
Если кто знает такую концепцию как ГБ 2.0, результантативная безопасность и все такое, буду скромен.

72
00:05:40,900 --> 00:05:46,160
Она выросла из одной моей статьи, безоцентрический подход к безопасности АСУТВЭК,

73
00:05:46,220 --> 00:05:53,300
которую мы применяли тогда еще в ГМА-не паровозе и всякие электрические станции давным-давно, когда я был маленьким мальчиком.

74
00:05:53,300 --> 00:06:04,420
И там это тоже военная концепция заключается в том, что успех всей твоей истории должен идти от успеха миссии

75
00:06:04,420 --> 00:06:10,860
Миссия может быть большая, может быть маленькая, может провести разведку, может взять город и так далее

76
00:06:10,860 --> 00:06:17,260
И ты от этого результата отстраиваешь и всегда, что у меня пойдет ли так, что у меня пойдет ли так

77
00:06:17,260 --> 00:06:21,980
Здесь я уступился чуть поглубже и нашел три прекрасных штуки у военных

78
00:06:21,980 --> 00:06:28,360
Первая – это модель доверия. Ее используют натовцы, она британская.

79
00:06:28,720 --> 00:06:31,420
Это как они работают со своими агентами разведки.

80
00:06:31,740 --> 00:06:39,500
Там матрица 6х6. Насколько я доверяю источнику и насколько я доверяю информацию, которую источник это сообщил.

81
00:06:39,860 --> 00:06:42,220
Я ее использую как базис для аудиторов.

82
00:06:42,220 --> 00:06:48,940
То есть мне агент же может соврать, но я знаю, что этот агент врет чаще, чем другой агент.

83
00:06:48,940 --> 00:06:54,940
Следующее, я заменю риски на радиус поражения

84
00:06:54,940 --> 00:07:01,440
Почему? Потому что на самом деле в агентской разработке у тебя ошибки развиваются во времени

85
00:07:01,440 --> 00:07:06,520
И чем раньше ошибка произошла, тем больше вот этот потенциальный радиус поражения

86
00:07:06,520 --> 00:07:13,020
Ну, например, если агент вдруг задержил себе какую-то неправильную концепцию в мозг

87
00:07:13,020 --> 00:07:15,400
Да, он с этой неправильной концепцией будет видеться

88
00:07:15,400 --> 00:07:33,400
И последняя вещь, она из немецкой военной доктрины, ну как, всех надо хвалить, это собственно говоря, как мы планируем операции. Ну здесь есть великая цитата о том, что ни один план не перенес первого контакта с противником.

89
00:07:33,400 --> 00:07:41,720
И здесь идея в том, что ты максимально готовишь команды на всех уровнях к автономной операции

90
00:07:41,720 --> 00:07:47,480
То есть ты пытаешься, вот у меня там отделение, вот у меня взвод, вот у меня там рота

91
00:07:47,480 --> 00:07:51,680
И ты их нарезаешь так, что если что-то пойдет не так, то каждая из них начинает работать

92
00:07:51,680 --> 00:07:58,180
Ну вот эти вот вещи я взял, как-то перемешал и заложил в лосан

93
00:07:58,180 --> 00:08:00,500
Не путать со самой другой

94
00:08:00,500 --> 00:08:05,600
И, соответственно, к чему мы здесь приходим?

95
00:08:05,740 --> 00:08:11,460
Что, в принципе, модели управления, которые мы традиционно используем,

96
00:08:11,620 --> 00:08:16,180
это модели управления чем-то доверенным, но, возможно, неизвестным.

97
00:08:16,500 --> 00:08:19,940
Здесь мы, во-первых, управляем неизвестным и недоверенным,

98
00:08:20,020 --> 00:08:24,400
потому что, как правило, модель чужая, непонятно, как воспитанная,

99
00:08:24,400 --> 00:08:30,400
непонятно, что у нее в голове и вообще какая у нее мотивация.

100
00:08:30,500 --> 00:08:36,160
Большая еще концепция, которую я заглушил в васам, это окно автономности.

101
00:08:36,160 --> 00:08:40,300
Она очень сильно влияет на многие вещи.

102
00:08:40,300 --> 00:08:47,680
На самом деле, когда я начинал с JETM с агентной разработки, я его попросил проанализировать, а где ты ломаешься.

103
00:08:47,680 --> 00:08:50,680
Поскольку он писал код, он говорит 50 строк-кодов.

104
00:08:50,680 --> 00:08:56,000
После 50 строк-кодов у меня начинает в одной итерации спирали,

105
00:08:56,000 --> 00:09:01,600
campaign rate, error rate и проваленные тесты у меня начинают расти.

106
00:09:01,600 --> 00:09:06,100
Ну, это зависит от конкретной модели, кто-то больше держит контекст и так далее.

107
00:09:06,100 --> 00:09:10,700
Поэтому окно-автономность — это вот этот 50-40 кодов,

108
00:09:10,700 --> 00:09:14,800
умноженные на количество итераций, пока он действует самостоятельно.

109
00:09:14,800 --> 00:09:19,100
И чем больше окно-автономности, тем больше потенциальных проблем.

110
00:09:19,100 --> 00:09:31,100
Соответственно, поскольку я люблю стандарты, но только знаю, ну, в части, вот я знаю, что есть стандарты, я знаю их названия,

111
00:09:31,100 --> 00:09:38,100
но я, как правило, их не читаю, потому что считаю, что всегда есть люди, которым нравится читать стандарты, вот я к ним не отношусь.

112
00:09:38,100 --> 00:09:44,100
Когда я, вроде, написал вот эту вещь, она красивая, я подумал, а как ее применить на практике?

113
00:09:44,100 --> 00:09:47,400
И чтобы не быть голословным, я написал тугун.

114
00:09:47,820 --> 00:09:51,700
Там есть где-то ссылочка на Giga, она лежит на StatoStrangeGap.

115
00:09:52,200 --> 00:09:57,440
Агент TauBit – это штука, которая работает в двух режимах.

116
00:09:57,920 --> 00:10:05,780
Первый режим – это проверка, такой forensic log, или, если хотите, EDR, для работы агентов.

117
00:10:05,780 --> 00:10:13,480
То есть она смотрит, какие фронты приходили, какие вызовы были, какие команды агент запускал, что он делал.

118
00:10:14,100 --> 00:10:24,600
И второй режим статический – это когда берешь набор «ход» или «кодекс» просто с репатитарей.

119
00:10:24,600 --> 00:10:29,180
Сейчас же как змеиная маска все продают.

120
00:10:29,280 --> 00:10:32,560
Да, вот у меня есть суперсилы, которыми ты можешь использоваться.

121
00:10:32,880 --> 00:10:36,740
И ты просто засовываешь их туда и говоришь, а нет ли там чего-то вредного.

122
00:10:36,980 --> 00:10:40,080
Вот именно с точки зрения методики Осама.

123
00:10:40,080 --> 00:11:03,480
Я гонял на достаточно больших выборках, то есть я взял где-то 500 репозитаров, самых популярных, гонял в годы, разбирал результаты, плюс гонял на своих живых проектах, ну и у всех до того дотянулся.

124
00:11:03,480 --> 00:11:06,340
На самом деле, проверку я расскажу, как делать это очень просто.

125
00:11:07,740 --> 00:11:11,420
И на самом деле, эта штука подсказывала мне интересный результат.

126
00:11:11,820 --> 00:11:17,180
То есть, когда ты сидишь, работаешь, вроде все окей, а потом она говорит, посмотри, вот что у тебя, что кто-то делает уже.

127
00:11:17,440 --> 00:11:19,660
Уже три дня занимается этим.

128
00:11:21,920 --> 00:11:27,800
Соответственно, с точки зрения организации, а сам максимально привязан к саму,

129
00:11:28,800 --> 00:11:32,820
потому что он многим понятен, многие его используют.

130
00:11:32,820 --> 00:11:43,820
Я решил взять 5 доменов – это корпоративное управление, дизайн, реализация, верификация и операция.

131
00:11:43,820 --> 00:11:51,820
А просто напихал в них дополнительные контроли, которые относятся к агентной разработке.

132
00:11:51,820 --> 00:11:59,820
Откуда я их взял? Ну, вы, конечно, не удивитесь, я взял все стандарты по безопасности, взял все новости по новым уязвимостям,

133
00:11:59,820 --> 00:12:02,820
Он звонил в агенты и сказал, что разгожим ей их на полочки.

134
00:12:02,820 --> 00:12:05,820
Он разгожил их на полочки, я так поректовал.

135
00:12:05,820 --> 00:12:10,820
И еще это что дало? Это дало мне даже cross-mapping с большинством стандартов,

136
00:12:10,820 --> 00:12:13,820
включая господь безопасной разработки.

137
00:12:13,820 --> 00:12:17,820
И на самом деле Asam, наверное, первый в мире крутой стандарт,

138
00:12:17,820 --> 00:12:21,820
который заполонил вселенную, который параллельно разрабатывается и на пустом языке,

139
00:12:21,820 --> 00:12:24,820
еще с cross-mapping документом Stap.

140
00:12:24,820 --> 00:12:27,820
Надеюсь, Stap его прочитал.

141
00:12:29,820 --> 00:12:38,540
Соответственно, ну я немножко про эту тугу рассказал, я думаю, что можно в нее подвигаться пропущу.

142
00:12:40,400 --> 00:12:46,200
Соответственно, два режима работы, и еще есть комбинированный режим работы,

143
00:12:46,640 --> 00:12:52,000
когда у тебя и статический анализ, и динамический анализ реализуются вместе,

144
00:12:52,000 --> 00:13:09,580
Плюс есть еще одна штука. Ты можешь взять либо локального агента, который у тебя был установлен, либо через VLM, либо ULAMU подключить внешнюю модельку и сказать, а сделай мне, пожалуйста, false positive check на том, что эта штука на шкаф.

145
00:13:10,120 --> 00:13:11,920
Или там, что ULAMA не на шкаф.

146
00:13:13,500 --> 00:13:15,840
Откуда я брал сигнатуры?

147
00:13:15,840 --> 00:13:26,460
На входе все до чего дотянется, я технику пропущу. Откуда я брал сигнатуру,

148
00:13:26,460 --> 00:13:32,880
оказалось, естественно, поскольку я когда изобретаю что-то великое, предполагаю, что кто-то умный

149
00:13:32,880 --> 00:13:38,640
это уже село до меня, я прошелся, есть несколько открытых проектов, CISP занимается Microsoft,

150
00:13:38,640 --> 00:13:49,820
занимается и так далее они там достаточно интересными лицензиями и я просто сел компилятор свои

151
00:13:49,820 --> 00:13:57,900
правила и в принципе когда вы сгидоходите там есть опция скачать свежие сигнатуры и собрать

152
00:13:57,900 --> 00:14:04,580
запулить. Плюс поставить памятник, там есть PR и партия

153
00:14:04,580 --> 00:14:07,460
все неправильных правил, чтобы было все привычно.

154
00:14:07,460 --> 00:14:11,640
Ну, что я сделал сверху, поскольку...

155
00:14:11,640 --> 00:14:16,780
Сейчас я... Так, это тряжь.

156
00:14:20,380 --> 00:14:26,220
Да, там, тороплюсь. В общем, я сделал еще IST-анализатор английского языка.

157
00:14:26,220 --> 00:14:35,400
Поскольку ты неполного, естественно, с какими-то ограничениями, я хочу туда легкую модельку прикрутить,

158
00:14:35,400 --> 00:14:41,760
у тебя в принципе жизнь агента можно привести к привычному нам трейсу песочницы.

159
00:14:41,760 --> 00:14:48,380
Потому что у него есть инструкция, у него есть вызовы, которые он дергает, у него есть активность кода, которую он написал.

160
00:14:48,380 --> 00:14:55,080
Соответственно, это такая смесь Contra-Flow-Craft и Data-Flow-Craft, в которых в принципе есть вывод песочницы.

161
00:14:55,080 --> 00:15:09,180
Соответственно, это в такую АСД собирается, и там потенциально опасные, ну, мои сигнодушки, это как раз вот эти потенциально опасные переходы, которые известны всем, кто с песочницами занимался.

162
00:15:09,180 --> 00:15:15,180
Как я уже говорил, там есть механизм фильтрации ложных срабатываний.

163
00:15:15,180 --> 00:15:22,180
Соответственно, есть детекторы. Поскольку я тащу чужие детекторы, я им всем не доверяю.

164
00:15:22,180 --> 00:15:28,180
На статистике объем этих детекторов я набираю фолз-позитивы, фолз-негативы.

165
00:15:28,180 --> 00:15:32,180
И у меня есть такой статический верификатор.

166
00:15:32,180 --> 00:15:52,180
Потом все, что верификатор набрал, можно отправить либо в модельку ГХ, либо удаленную ЛГМ-ку, и это все дело выдается человеку, чтобы он сказал, ну и все правильно написали.

167
00:15:52,180 --> 00:16:04,180
Это я пропущу, с вашего позволения. Да, собственно говоря, к сожалению, делка не удалась, но просто другой ноутбук.

168
00:16:04,180 --> 00:16:14,180
Смотрите, как проверить, что самоработает. Когда зайдете на Readme, там есть ссылка self-audit.

169
00:16:14,180 --> 00:16:21,540
Возьмите и там просто набор промптов, которые вы можете вставить в любую ленту.

170
00:16:21,540 --> 00:16:33,520
Вы можете взять просто чат-жепт либо флот и сказать, вот тебе репозиторий, разбери, проведи себя аудит по критериям осам.

171
00:16:33,520 --> 00:16:47,240
Вы когда будете эти чек-лис читать, вы спросите, а почему там у тебя в промках ты три раза просишь модельку проверить себя.

172
00:16:47,240 --> 00:16:52,400
Дело в том, что первый вывод, который вы получите, это будет абсолютная чушь.

173
00:16:52,400 --> 00:17:02,060
То есть она пойдет по самому легкому пути, даже стоит у за арт-моделей, она скажет, я прочитала, да, но на самом деле она прочитала рядми, документы не читала.

174
00:17:02,060 --> 00:17:08,380
более того там есть обязательные пункты в чек-листе насчет того а ты опроси вообще

175
00:17:08,380 --> 00:17:15,020
богателца что система должна делать и что для него неприемлемый риск она как

176
00:17:15,020 --> 00:17:19,220
правильно это пропускает поэтому четвертым фронтом у меня а ты уже просил

177
00:17:19,220 --> 00:17:26,740
богателца больше можешь и забыла но вот за эти несколько итераций я например

178
00:17:26,740 --> 00:17:29,740
он узнал, как устроил сэнбокс-клода.

179
00:17:29,740 --> 00:17:32,740
Почему? Потому что по сути чек-лист Asamo

180
00:17:32,740 --> 00:17:35,740
он достаточно технический.

181
00:17:35,740 --> 00:17:38,740
И как у тебя устроено ограничение?

182
00:17:38,740 --> 00:17:42,740
Он говорит, да, интересно, как оно меняется со временем.

183
00:17:42,740 --> 00:17:44,740
Вы же не знаете, что у него в сэнбоксе.

184
00:17:44,740 --> 00:17:47,740
Он говорит, да, я работаю по-другому, у меня 40,

185
00:17:47,740 --> 00:17:52,740
одна перелегия 42, я имею полный доступ к HTTP,

186
00:17:52,740 --> 00:18:01,120
пост, там ты-ты-ты-ты. Вот у меня какой-то процессор, такое-то окно автономии, через сколько-то меня убивают, судя по лобу.

187
00:18:01,640 --> 00:18:07,060
Это забавные вещи, которые можно посмотреть изнутри, если вы работаете в облаке.

188
00:18:07,740 --> 00:18:14,520
На этом у меня, наверное, все. Очень буду рад любой обратной связи.

189
00:18:14,520 --> 00:18:23,160
Если вы будете своих агентов проверять, если вы кинете их в их выгоды, деприционнофицируете,

190
00:18:23,160 --> 00:18:28,520
можно прогнать, убрать секреты, потому что оно секреты выдает и так далее.

191
00:18:29,520 --> 00:18:40,260
Дадите какой-то, может быть, более свернутый фидбэк, заведете Ишпю на гите.

192
00:18:40,260 --> 00:18:48,040
Я буду очень рад, буду скармливать это в агентах, они будут проверять других агентств, и такая у нас будет агентическая жизнь.

193
00:18:48,040 --> 00:19:05,820
И да, в конце это уже представлено на рабочей группе АВАСПА, соответственно, они взяли работу, я думаю, что где-то за полгода интегрируют в новую редакцию САМА, которую они прямо сейчас пишут.

194
00:19:05,820 --> 00:19:07,540
У меня все.

195
00:19:08,180 --> 00:19:10,300
Все, тут 5 минут на вопросы.

196
00:19:20,580 --> 00:19:22,240
Ну так, нормально.

197
00:19:22,240 --> 00:19:34,240
Увидеть код, который...

198
00:19:34,240 --> 00:19:43,240
А, ну все очень элементарно на github.com, scata-strange-gaz

199
00:19:43,240 --> 00:19:48,240
и там прям два самых новых проекта это они

200
00:19:48,240 --> 00:19:53,240
Один это методика, второй это...

201
00:19:53,240 --> 00:19:59,240
Да, вот прям сзади вы можете развернуться, у вас слева будет внизу.

202
00:19:59,240 --> 00:20:03,240
А второй это тула, которая review-вит код.

203
00:20:03,240 --> 00:20:11,240
Но это не код-ревью как таковой, это код-ревью поведения агента в процессе написания этого кода.

204
00:20:11,240 --> 00:20:18,640
Стандартными стат-динамик-анализаторами.

205
00:20:18,640 --> 00:20:21,640
Ну, MyFaSOM, например.

206
00:20:21,640 --> 00:20:27,640
А нет попыток сделать проверку с помощью модельных судей?

207
00:20:27,640 --> 00:20:30,240
То есть один агент делает, а второй проверяет, например.

208
00:20:30,240 --> 00:20:35,240
Это вот, собственно, штука, которая фильтрует полцы.

209
00:20:35,240 --> 00:20:40,240
Она может, кроме фильтровать полцы и еще и перепроверять, но она ждет до фига как текста.

210
00:20:40,240 --> 00:20:42,240
Я это делаю.

211
00:20:42,240 --> 00:20:44,240
Вклады есть, я понял.

212
00:20:44,240 --> 00:20:46,240
Да, да, да. То есть она может как

213
00:20:46,240 --> 00:20:48,240
фокс-позитивную шейпить, так еще и

214
00:20:48,240 --> 00:20:50,240
другой шейпл приносить. На самом деле у меня

215
00:20:50,240 --> 00:20:52,240
следующая идея по развитию

216
00:20:52,240 --> 00:20:54,240
именно аудитора

217
00:20:54,240 --> 00:20:56,240
это вбилить туда паттерны

218
00:20:56,240 --> 00:20:58,240
не связанные с секьюрити, а

219
00:20:58,240 --> 00:21:00,240
паттерны связанные с неправильной

220
00:21:00,240 --> 00:21:02,240
разработкой. То есть

221
00:21:02,240 --> 00:21:04,240
многие вот те скилы, которые

222
00:21:04,240 --> 00:21:06,240
сейчас продаются как снаикоил,

223
00:21:06,240 --> 00:21:08,240
они прям вредные. Да, я их просто

224
00:21:08,240 --> 00:21:11,980
тестировал много, разработал там некоторую свою историю,

225
00:21:11,980 --> 00:21:18,160
и вот хочу, чтобы не только security проверялась, но и сам процесс разработал.

226
00:21:20,360 --> 00:21:23,000
Ну это не линдер, это скорее процесс найдешь.

227
00:21:23,000 --> 00:21:34,700
коллеги огромное спасибо

228
00:21:34,700 --> 00:21:48,260
совершенно невероятные