इस चुनौती से निपटने में मदद के लिए, आर्म की उत्पाद सुरक्षा टीम ने विकसित और ओपन-सोर्स किया है मेटिसएक एजेंटिक एआई सुरक्षा ढांचा जिसे बड़े पैमाने के कोडबेस में जटिल सुरक्षा मुद्दों की पहचान करने के लिए डिज़ाइन किया गया है।
आर्म के भीतर, मेटिस पहले से ही 130 से अधिक सॉफ्टवेयर प्रोजेक्ट चला रहा है, जिसमें 2026 के अंत तक आर्म-वाइड सॉफ्टवेयर अपनाने की योजना है।
मेटिस इंजीनियरिंग टीमों को मुद्दों की पहले से पहचान करने, विकास ओवरहेड को कम करने और उत्पादों की समग्र सुरक्षा और प्रदर्शन में सुधार करने में मदद करता है।
उन्नत विश्लेषण तकनीकों को एआई-सक्षम वर्कफ़्लो के साथ जोड़कर, जिन्हें मौजूदा दृष्टिकोणों का उपयोग करके पता लगाना मुश्किल है, साथ ही प्रक्रिया में पहले से ही उनकी पहचान करना मुश्किल है।
यह उत्पाद की गुणवत्ता में सुधार करते हुए समय बचाने और इंजीनियरिंग संसाधनों और सत्यापन चक्रों पर लागत कम करने में मदद करता है।
मेटिस डिटेक्शन गुणवत्ता और डेवलपर उत्पादकता में सुधार कर रहा है, आंतरिक आर्म बेंचमार्क के साथ जिन्हें एआई द्वारा प्रशिक्षित नहीं किया गया है, यह दर्शाता है कि यह प्रदान करता है:
- तक 10 गुना अधिक सच्ची सकारात्मक दरें; और
- लगभग 50% कम झूठी सकारात्मकता अग्रणी स्थैतिक विश्लेषण उपकरणों की तुलना में।
झूठी सकारात्मकताएँ मूल्यवान इंजीनियरिंग समय का उपभोग करती हैं और स्वचालित टूलींग में विश्वास को कम कर सकती हैं। झूठी सकारात्मकता को कम करके, मेटिस इंजीनियरिंग टीमों को उन मुद्दों पर ध्यान केंद्रित करने में मदद करता है जो सबसे महत्वपूर्ण हैं, निवारण में तेजी लाते हैं और सत्यापन और समीक्षा के दौरान व्यर्थ प्रयास को कम करते हैं।
मेटिस एक पुनर्प्राप्ति-संवर्धित पीढ़ी (आरएजी) वास्तुकला पर बनाया गया है जो प्रासंगिक सुरक्षा विश्लेषण प्रदान करने के लिए परियोजना-विशिष्ट ज्ञान के साथ बड़े भाषा मॉडल (एलएलएम) को जोड़ता है।
पारंपरिक स्थैतिक विश्लेषण उपकरणों के विपरीत, जो मुख्य रूप से निश्चित नियमों और पैटर्न मिलान पर निर्भर करते हैं, मेटिस संदर्भ में कोड को समझता है और स्रोत कोड का उपयोग करके एक कस्टम ज्ञान आधार बनाता है, फ़ाइलों और दस्तावेज़ीकरण का निर्माण करता है, जिससे सिस्टम को कैसे डिज़ाइन किया जाता है और संचालित करने का इरादा होता है, इसकी गहरी समझ मिलती है।
यह मेटिस को संपूर्ण रिपॉजिटरी, व्यक्तिगत फ़ाइलों, पुल अनुरोधों या हाल के कोड परिवर्तनों का विश्लेषण करने की अनुमति देता है, ताकि यह फ़ंक्शन, घटकों और वर्कफ़्लो में अधिक जटिल कमजोरियों की पहचान कर सके।
इसके अलावा, मेटिस अपने स्वयं के विश्लेषण और बाहरी स्थैतिक अनुप्रयोग सुरक्षा परीक्षण (एसएएसटी) टूल दोनों से निष्कर्षों को मान्य कर सकता है। स्रोत कोड को नेविगेट करके, विस्तृत ग्राफ़ बनाकर, सहायक साक्ष्य इकट्ठा करके और संभावित सुरक्षा मुद्दों पर तर्क करके, मेटिस संभावित कमजोरियों को झूठी सकारात्मकताओं से अलग कर सकता है।
आर्म की आंतरिक तैनाती में, मेटिस अपने रक्षात्मक सुरक्षा वर्कफ़्लो के एक हिस्से के रूप में ओपनएआई डेब्रेक के माध्यम से ओपनएआई के जीपीटी-5.5-साइबर का उपयोग करता है और स्रोत कोड में गहरे, रिपोजिटरी-विशिष्ट संदर्भ के साथ उन्नत एआई तर्क जोड़ता है।
मेटिस यह भी बताता है कि कोई विशेष मुद्दा क्यों मायने रखता है, डेवलपर्स और इंजीनियरों को स्पष्ट, कार्रवाई योग्य सारांश प्रदान करता है जो निवारण में तेजी लाने और सुरक्षित विकास प्रथाओं को बेहतर बनाने में मदद करता है। मेटिस प्रोग्रामिंग भाषाओं की एक विस्तृत श्रृंखला का समर्थन करता है, जिनमें सी, सी++, पायथन और रस्ट शामिल हैं, जिनमें समर्थित भाषाओं की पूरी सूची उपलब्ध है। यहाँ.
सुरक्षा चुनौतियाँ उद्योग-व्यापी चुनौतियाँ हैं। यही कारण है कि आर्म ने ओपन सोर्स मेटिस को चुना और इसे व्यापक पारिस्थितिकी तंत्र के लिए उपलब्ध कराया। इस परियोजना को आर्म से परे पहले से ही अपनाया जा रहा है, जिसमें भागीदारों की रुचि भी शामिल है कि कैसे एआई-सक्षम भेद्यता खोज उनके स्वयं के विकास वर्कफ़्लो को बेहतर बना सकती है।
जबकि मेटिस शुरू में सॉफ़्टवेयर भेद्यता खोज पर ध्यान केंद्रित कर रहा है, आर्म पहले से ही नए डोमेन में प्रौद्योगिकी का विस्तार कर रहा है। परियोजना ने हाल ही में वेरिलॉग के लिए समर्थन जोड़ा है और आर्म पारिस्थितिकी तंत्र भागीदारों के साथ काम कर रहा है ताकि यह पता लगाया जा सके कि मेटिस हार्डवेयर भेद्यता सत्यापन के लिए अधिक स्वचालित दृष्टिकोण का समर्थन करने में कैसे मदद कर सकता है।
जैसे-जैसे एआई सिस्टम, सिलिकॉन और सॉफ्टवेयर स्टैक तेजी से आपस में जुड़े हुए हैं, सुरक्षा विश्लेषण को अलग-अलग सॉफ्टवेयर स्कैनिंग से आगे बढ़कर व्यापक सिस्टम-स्तरीय सत्यापन की ओर विकसित करने की जरूरत है।
भेद्यता खोज में सुधार करके, डेवलपर ओवरहेड को कम करके और सॉफ़्टवेयर में सत्यापन का विस्तार करके, मेटिस सुरक्षित कंप्यूटिंग की अगली पीढ़ी के लिए नींव को मजबूत करने में मदद करता है।
मेटिस के बारे में अधिक जानने और जानने के लिए GitHub पर ओपन-सोर्स प्रोजेक्ट या आर्म उत्पाद सुरक्षा टीम से संपर्क करें metis@arm.com
