今天体验了一下自动化审计工具-ChatGPT-CodeReview。https://github.com/anc95/ChatGPT-CodeReview/blob/main/README.zh-CN.md
首先说一下体验感,不太行。只能作为一个编程基本代码补充工具,在安全这块的功能不太突出。
缺点:
-
它是一个文件一个文件检查。文件数太多就会耗费很多次chatgpt查询额度,我的免费额度就用完了。不具备文件与文件之间的上下文功能,我是一个安全人员,作为一个安全人员,很多漏洞可能需要跟踪好几个文件。
-
很多漏洞如xss还有逻辑漏洞和一些配置导致的漏洞,它还无法找到。可能是关于代码安全还有网络安全方面训练数据集不够
-
使用必须是pull request形式。
-
而且使用起来要注意泄密,你无法保证它不会拿你上传的代码去训练
-
生成的反馈,还是需要人工去大量筛查
优点
对于编程人员来说,非常基础非常明显的漏洞它还是可以给出提示。可以让编码更规范,减少低层次明显的漏洞。更多的是提示作用。
总结:它离取代安全人员还有一段距离。需要进行大量训练,但是低端工作还是很可能被取代
