A OpenAI construiu um agente de segurança que ignora deliberadamente a saída SAST. O motivo revela o que a maioria das ferramentas de segurança erra.
Codex Security não começa importando um relatório de análise estática. Essa decisão de design tem mais consequências do que parece.
Argumento da OpenAI: as vulnerabilidades mais difíceis não são problemas de fluxo de dados. Eles acontecem quando o código parece impor uma verificação de segurança, mas essa verificação na verdade não é válida para o contexto de renderização específico, mecanismo de modelo, comportamento de codificação e transformações downstream envolvidas.
Uma ferramenta SAST pode informar que um desinfetante foi executado. O que normalmente não consegue determinar é se esse desinfetante é suficiente para este contexto específico.
Isso não é uma lacuna de ferramentas. É uma lacuna de raciocínio.
O SAST é eficaz naquilo para o qual foi projetado: rastrear caminhos de entrada, capturar padrões conhecidos, impor padrões de codificação em escala com compensações previsíveis. Essas são capacidades reais. Eles também são recursos limitados.
Saber que um desinfetante funcionou e saber se ele é realmente suficiente são diferentes categorias de questões. Um deles é o reconhecimento de padrões. O outro é o raciocínio arquitetônico sobre a correção.
Há uma segunda justificativa na explicação da OpenAI que merece igual atenção. Se você propagar o agente com saída SAST, não poderá separar o que o agente encontrou do que herdou. Essa separação é importante para medir a capacidade do sistema - e a medição da capacidade é como você melhora um sistema ao longo do tempo.
O rigor desse enquadramento é digno de nota num domínio onde os falsos negativos acarretam consequências operacionais.
AppSec está se bifurcando.
A digitalização de commodities continuará a se tornar uma commodity. O raciocínio de segurança arquitetônica – compreensão dos limites de confiança, suficiência de desinfetantes, correção comportamental no nível do sistema – é onde o próximo ciclo de valor defensável do produto será construído.
As equipes que integrarem IA em seus pipelines de segurança terão agora um ano de vantagem para avaliar quais afirmações de raciocínio são realmente confiáveis.