SAST 误报太多只会浪费 SRE 的时间,试试把 AI 塞进流水线
别再迷信纯粹的 SAST 工具了,那堆误报查得人想掀桌子。全丢给 LLM 又怕它满嘴跑火车,逻辑幻觉能让你怀疑人生。
下一篇
国产开源大模型可能面临的“护城河”效应 →
ReviewCerberus 这个项目倒是走了个务实的路线,它是专门给 GitHub Actions 写的。逻辑很清晰:先让静态分析去捞风险点,再把上下文喂给 AI 做二次校验。用 LLM 的语义理解去过滤掉那些没意义的报警,既能保住严谨性,又能降低人工复核的成本。
对于不想买昂贵闭源方案、追求性价比的 DevSecOps 流程来说,这玩意儿比单纯堆工具强。它跑在 Docker 镜像里,集成到 GitHub Workflow 的门槛不算高。
想直接拉镜像测一下的看这里:
https://hub.docker.com/r/kirill89/reviewcerberus至于最后能不能真的降噪,还得看它在复杂业务逻辑下的表现。毕竟,工具再硬核,处理不好误报也是在给运维添乱。