Metis 是由 Arm 產品安全團隊開發的開源智慧 AI 安全框架,用於深度安全程式碼審查。它能幫助工程師發現細微漏洞、改善安全編碼實務並減輕審查疲勞。這對於大型、複雜或遺留程式碼庫尤其重要,因為傳統工具往往難以勝任。
Metis 基於檢索增強生成 (RAG) 架構構建,該架構將大型語言模型 (LLM) 與專案特定知識相結合,提供上下文相關的安全分析。與主要依賴固定規則和模式匹配的傳統靜態分析工具不同,Metis 能夠理解上下文中的程式碼,並利用原始程式碼、建置文件和文件創建自訂知識庫,從而更深入地了解系統的設計和預期運作方式。這使得 Metis 能夠分析整個程式碼庫、單一檔案、拉取請求或最近的程式碼更改,從而識別跨功能、元件和工作流程的更複雜的漏洞。
功能
- 深度推理: 與程式碼檢查工具或傳統靜態分析工具不同,Metis 不依賴硬編碼規則,而是使用能夠理解語意和進行推理的邏輯邏輯模型 (LLM)。
- 上下文感知評審 RAG 確保模型能夠存取更廣泛的程式碼上下文和相關邏輯,從而產生更準確、更具可操作性的建議。
- 插件友好且可擴展 設計時充分考慮了可擴展性:支援其他語言、模型和新提示非常簡單。
- 問題驗證: 驗證自身分析和第三方 SAST 工具的發現,收集證據以減少誤報。
- 提供者靈活 支援主流 LLM 服務和本地化模型(vLLM、Ollama、LiteLLM 等)。有關本地化設定範例,請參閱 vLLM 指南和 Ollama 指南。
支援的語言
- C
- C++
- Python
- Rust
- TypeScript
- Terraform
- Go
- Solidity
- TableGen
- Verilog
留言
張貼留言