Vampy BRO

Vampy BRO - это встроенный ML-классификатор, который автоматически оценивает вероятность того, что найденная уязвимость является ложным срабатыванием (False Positive). Компонент спроектирован для работы с большими объёмами данных и высокими нагрузками.

В отличие от AI-анализа, Vampy BRO обучается на вашей локальной истории триажа и адаптируется под ваши проекты, практики и используемые сканеры.

Что дает Vampy BRO

• снижает объем ручного разбора новых уязвимостей;
• помогает быстрее приоритизировать проверку;
• повышает консистентность триажа между командами;
• обучается локально в вашем контуре: данные для обучения не покидают компанию;
• дает FP оценку даже без ручного запуска AI-анализа в карточке дефекта.

Как работает Vampy BRO

1. Команда триажит дефекты и выставляет статусы (False Positive / Confirmed), либо те же статусы выставляют автоматические правила (Rules Engine).
2. Из размеченных дефектов формируется обучающий датасет.
3. После достижения порога данных создается обученный снепшот.
4. Активный снепшот начинает автоматически оценивать новые дефекты в фоне.
5. Далее собирается пакет переобучения (минимум 50 уникальных образцов), и модель периодически обновляется новым снепшотом.

Где включается и настраивается

Перейдите в раздел Администрирование -> Vampy BRO.

На странице доступны:

• переключатель включения/выключения Vampy BRO;
• текущий статус (например: "Оценка активна", "Сбор меток", "Обучение...");
• прогресс заполнения датасета;
• расширенные настройки режима датасета и обучения;
• в расширенных настройках кнопки Очистить датасет, Импортировать новый снепшот, Расширить глобальный датасет;
• список Снепшоты и меню действий к каждому снепшоту.

Режимы датасета и обучения

В расширенных настройках есть три режима:

• Собирать датасет и обучать - система собирает новые размеченные дефекты и автоматически запускает обучение при достижении порога;
• Только собирать датасет - метки копятся, но обучение не запускается автоматически;
• Не собирать датасет - сбор новых меток и обучение приостановлены.

Когда Vampy BRO выключен, автоматическая FP оценка, сбор датасета и обучение не выполняются.

Первичное обучение

Для запуска первого обучения нужен первичный датасет. Он начинает собираться после включения Vampy BRO, когда в настройках выбран режим со сбором датасета, и дефекты в triage получают статусы False Positive или Confirmed вручную командой или автоматическими правилами.

Для запуска первого обучения должны быть выполнены следующие условия:

• минимум 300 разных размеченных дефектов (уникальных образцов);
• включая минимум 60 False Positive;
• и минимум 60 Confirmed.

Уникальный образец — это новый тип ситуации для обучения, а не каждая отдельная размеченная находка. Похожие дефекты (тот же парсер и правило, сходный контекст файла и т.п.) система объединяет в одну группу: если десять разметок для неё неотличимы, к счётчику уникальных образцов это даст один шаг, а не десять. Чтобы прогресс шёл, нужны разные шаблоны находок, а не много почти одинаковых.

Пока порог не достигнут, система отображает прогресс и число оставшихся образцов.

Когда порог достигнут, обучение переводится в состояние "запланировано".

В режиме Собирать датасет и обучать обучение запускается автоматически планировщиком в фоне. При необходимости его можно запустить вручную кнопкой Обучить сейчас.

Снепшоты и переобучение

Снепшот - это сохраненная обученная версия классификатора. Проще: датасет - это размеченные данные для обучения, а снепшот - уже обученная модель, которая используется для FP оценки.

Для снепшота доступны следующие действия:

• назначить активным;
• переименовать;
• экспортировать датасет;
• экспортировать снепшот;
• импортировать;
• удалить.

Важные ограничения при работе со снепшотами:

• нельзя удалить активный снепшот;
• нельзя удалить последний оставшийся снепшот;
• для импортированных снепшотов недоступен экспорт датасета.

После создания первого снепшота система начинает собирать пакет переобучения. Для следующего цикла нужно накопить минимум 50 уникальных размеченных образцов; когда порог достигнут, запускается обучение и создаётся новый снепшот.

Ручной старт обучения

Когда новый снепшот уже запланирован к обучению, его можно запустить вручную кнопкой Обучить сейчас. Это удобно, если не хотите ждать фонового запуска по расписанию или хотите ускорить цикл обновления модели.

Импорт и экспорт датасета и снепшота

Зачем это нужно:

• перенести обученную модель между стендами/контурами (экспорт/импорт снепшота);
• ускорить запуск на новом контуре за счет готового снепшота;
• добавить размеченные данные из внешнего источника в обучающий набор (расширение датасета);
• выгрузить датасет для анализа/архивации.

Как это работает в интерфейсе:

• Расширить глобальный датасет - загрузка файла с размеченными проблемами в датасет;
• Импортировать новый снепшот - загрузка готового файла модели, после чего создаётся новый снепшот;
• в меню снепшота доступны Экспорт датасета и Экспорт снепшота.

FP оценка в дефектах

После активации Vampy BRO у новых дефектов появляется FP оценка (0-100):

• чем выше значение, тем выше вероятность ложноположительного срабатывания;
• значение отображается в списке дефектов и в деталях дефекта;
• оценку можно использовать для сортировки и фильтрации.

В карточке дефекта блок Оценка ложно-позитивности показывает уровень (например, подпись вроде «высокая»), процент, источник оценки и при необходимости доступен Повторный AI-анализ (запрос к LLM-интеграции).

Повторный AI-анализ можно использовать и когда FP оценки от Vampy BRO ещё нет, и когда оценка от BRO уже есть — тогда LLM даёт независимое мнение поверх или вместо текущего источника в карточке. Нужна настроенная LLM-интеграция и права на AI-функции в продукте.

Как трактовать FP оценку

FP оценка - это вероятностный ориентир, а не финальный автоматический вердикт.

Практически это обычно работает так:

• высокая FP оценка - кандидат на ускоренную проверку как потенциальный false positive;
• средняя FP оценка - зона ручной валидации в контексте компонента и источника;
• низкая FP оценка - чаще кандидат на подтвержденную уязвимость, но всё равно требует triage-проверки.

Рекомендуется подбирать рабочие пороги под свои проекты и постепенно уточнять их по фактическому качеству разбора.

Источник FP оценки

В интерфейсе можно различать источник FP оценки:

• Vampy BRO - оценка от локально обученного классификатора;
• AI интеграция - оценка от внешней LLM-интеграции.

Это удобно, когда нужно отдельно анализировать стабильность автооценки классификатора и ответы внешних AI-моделей.

Фильтрация по FP оценке

В фильтре по оценке ложно-позитивности доступны три отдельных блока (как в интерфейсе):

• Оценка ложно-позитивности: диапазон - от/до в процентах (0-100), например 10-95%;
• Тип источника оценки ложно-позитивности - от Vampy BRO и/или от AI-интеграции;
• Оценка ложно-позитивности: без оценки - чтобы включить дефекты, у которых оценка пока отсутствует.

Комбинация этих фильтров помогает быстро собирать рабочие выборки: например, только дефекты без оценки ложно-позитивности или только с оценкой от выбранного источника.

Использование Vampy BRO в правилах

FP оценка доступна в Rules Engine как условие, поэтому можно автоматизировать обработку дефектов.

Пример:

• условие: FP оценка >= 95;
• действие: перевести дефект в статус False Positive.

Перед включением такого правила в рабочем контуре рекомендуется протестировать пороги на ваших реальных данных.

Связь с AI-анализом

Vampy BRO и AI-анализ через LLM-интеграции дополняют друг друга:

• Vampy BRO - про статистическую FP оценку, обученную на вашей разметке;
• AI-анализ - про FP оценку как альтернативный источник (вместо классификатора Vampy BRO), а также про объяснение, описание и рекомендации по исправлению.

Подробнее про настройку AI: Настройка интеграции.

В практической работе Vampy BRO помогает перевести триаж из полностью ручного процесса в более управляемый и масштабируемый, чтобы команда AppSec тратила больше времени на действительно критичные кейсы.