En la industria del análisis estático de seguridad de aplicaciones (SAST), muchos proveedores han adoptado modelos de lenguaje grandes (LLM) como un añadido a sus motores tradicionales, presentándolos como la generación siguiente. Sin embargo, la mayoría simplemente intenta paliar problemas recurrentes sin cambios radicales en la base tecnológica.
Esta semana, Checkmarx ha dado un paso significativo al lanzar un nuevo motor SAST que combina tres componentes clave: un escáner determinista basado en reglas, un LLM entrenado específicamente con datos de seguridad y un motor adicional diseñado para analizar y clasificar los hallazgos, diferenciando los verdaderos positivos de los falsos antes de que lleguen a los equipos de desarrollo.
Según Checkmarx, su motor alcanza una puntuación F1 de 0,499, más del doble del promedio en la categoría que ronda 0,20, lo que indica una alta precisión en la detección. En pruebas directas con cuatro bases de código en producción, el motor identificó 327 verdaderos positivos que un modelo pionero de referencia no detectó, aunque la empresa no reveló el nombre de este rival comparado. La métrica F1 es un estándar utilizado para evaluar el rendimiento y equilibrio entre precisión y exhaustividad en detección automática. 
Jonathan Rende, director de producto en Checkmarx, subraya que el sistema utiliza estos tres motores funcionando juntos para ofrecer una protección consolidada: “Nuestro motor determinista ha sido la base en la que las empresas han confiado durante dos décadas, ahora complementado con cobertura impulsada por IA para los lenguajes que usan desarrolladores y asistentes de código, además de nuestro Motor de Análisis de Hallazgos (FAE) que clasifica automáticamente los resultados antes de que impacten en los equipos.”
La innovación real está en la orquestación
Aunque la combinación de motores en sí no es completamente nueva, Checkmarx destaca que lo innovador radica en cómo los integran para ejecutarse automáticamente, sin que los usuarios tengan que construir flujos de trabajo complejos ellos mismos. Su LLM no fue creado desde cero, sino que parte de modelos base afinados con datos específicos de seguridad, pero es la capa de orquestación la que realmente marca la diferencia, mejorando la simplicidad y efectividad.
Frank Emery, director de gestión de producto, explica a The New Stack: “Ninguno de los enfoques por separado —basados en reglas deterministas o solo en LLM— es suficiente. Nuestra solución aprovecha ambas tecnologías para ofrecer configurabilidad y determinismo donde se requiere, al tiempo que facilita un soporte rápido para múltiples lenguajes y un mayor alcance en el código.”
Convergencia tecnológica en el sector
Las herramientas tradicionales basadas en consultas deterministas son auditables y fiables, pero su soporte para nuevos lenguajes es lento y suelen generar falsos positivos que entorpecen el trabajo de los ingenieros. Por otro lado, los escáneres basados únicamente en LLM pueden procesar cualquier lenguaje de manera inmediata, pero sus resultados no son deterministas, lo que complica aspectos críticos como la gobernanza y el cumplimiento normativo.
Hoy, casi todos los actores del sector están apostando por una combinación de ambas soluciones. La diferencia principal yace en cómo integran y gestionan esa mezcla tecnológica. Para Checkmarx, ocultar esta complejidad detrás de un único proceso de análisis es el verdadero producto, proporcionando equilibrio entre precisión, cobertura y reducción de ruido.
El problema del ruido en los hallazgos se agrava
El aumento exponencial en la producción de código, impulsado en gran parte por herramientas de codificación con IA, ha complicado la gestión de falsos positivos. Emery indica que sus clientes ahora cometen entre uno y uno y medio veces más código que hace unos años, lo que hace que la triage manual de vulnerabilidades falsas sea una carga creciente para los equipos de seguridad de aplicaciones (AppSec).
“Un escaneo puede devolver diez hallazgos, de los cuales varios pueden ser falsos positivos. Pero para confirmarlo, alguien debe evaluarlos manualmente, sacando a desarrolladores o profesionales de seguridad de su flujo de trabajo,” añade Emery. Este ruido se vuelve cada vez más difícil de manejar cuando los ciclos de desarrollo son más rápidos y las listas de tareas pendientes se acumulan.
El director ejecutivo de Checkmarx, Sandeep Johri, fue aún más directo: “Nuestro estudio revela que 75% del código que se lanza hoy es vulnerable, ya que la velocidad con la que la IA genera código supera con creces la capacidad para asegurar su protección.”
“Attackability”: un nuevo enfoque para priorizar
El motor incorpora un concepto de priorización denominado “Attackability” (atacabilidad), que es un índice que mide la explotabilidad de una vulnerabilidad rastreando la ruta de ataque desde su origen, evaluando factores como la presencia de controles, accesibilidad del vector y relevancia para el negocio. Este enfoque busca desplazar el reporte tradicional basado en la cantidad de vulnerabilidades hacia uno que indica qué fallos requieren atención urgente, facilitando la justificación frente a los consejos de administración.
La aceptación y validación del planteamiento de Checkmarx, que prioriza la orquestación integrada, dependerá de los resultados que las empresas obtengan al probarlo en sus propios entornos y códigos.
Actualmente, el motor SAST y el Motor de Análisis de Hallazgos están disponibles dentro de la plataforma Checkmarx One, y los suscriptores actuales recibirán la actualización automáticamente.
