SAST-tools zoals Snyk, Semgrep en GitHub Advanced Security vangen patroon-gebaseerde security-issues. AI vangt context-gebaseerde issues die patroon-tools missen. De combinatie geeft betere coverage dan elk afzonderlijk.
Wat AI extra vangt
Authorization-bugs (eindgebruiker kan iets wat hij niet zou mogen), business-logic-flaws, race conditions in async code, subtle injection-vectoren. SAST mist deze omdat ze geen patroon-match hebben maar context-redenering vragen.
False-positive reductie op SAST
SAST levert vaak veel false positives. AI-laag erover beoordeelt of een SAST-finding in deze context echt een issue is. Reduceert review-werk voor security-team substantieel.
Threat modeling per change
Bij grote architecturele PR's: AI genereert STRIDE-threat-model op basis van de wijziging. Security-architect reviewt en verfijnt. Threat modeling wordt hapsing-friendly in plaats van eens per jaar workshop.
Compliance: AI Act en SBOM
AI Act-eisen voor security-testing van high-risk systemen. SBOM (Software Bill of Materials) plus AI-vulnerability-scan voor third-party-dependencies. Wij richten dat in als deel van CI/CD-pipeline.
Verwant: Freelance AI consultant inhuren, AI code review.