Vercel Rilis Deepsec: Security Harness Berbasis AI untuk Codebase

Vercel baru-baru ini merilis deepsec, sebuah security harness open source yang ditenagai oleh coding agents untuk menemukan dan memperbaiki kerentanan di codebase. Tool ini dirancang agar bisa berjalan di infrastruktur pengguna sendiri tanpa perlu mengirimkan kode priv ke cloud service.

Menurut Vercel Blog, deepsec bisa dijalankan di laptop developer menggunakan subscription Claude atau Codex yang sudah ada, tanpa setup tambahan. Untuk repository besar, scanning bisa memakan waktu berhari-hari di satu mesin. Oleh karena itu deepsec mendukung fanout opsional ke Vercel Sandboxes untuk eksekusi remote, dengan scan di codebase Vercel sendiri rutin menggunakan lebih dari seribu sandbox konkuren.

Secara arsitektural, deepsec menggunakan Claude Opus 4.7 dan GPT 5.5 untuk melakukan investigasi codebase. Workflow dimulai dengan static analysis untuk mengidentifikasi file yang sensitif secara keamanan. Coding agents kemudian menyelidiki setiap kandidat, melacak data flow, memeriksa mitigasi, dan menghasilkan temuan actionable dengan severity rating.

Proses scanning terdiri dari lima tahap. Tahap Scan melakukan regex-only scan seluruh file untuk area sensitif. Tahap Investigate membuat agents menyelidiki setiap file yang teridentifikasi. Tahap Revalidate menjalankan agent kedua untuk memvalidasi temuan dan menghilangkan false positives. Tahap Enrich menggunakan metadata git untuk mengidentifikasi kontributor yang bertanggung jawab memperbaiki setiap issue. Terakhir, tahap Export memformat temuan sebagai instruksi yang bisa diubah menjadi ticket untuk manusia maupun coding agents.

Selama pengembangan, tim Vercel menjalankan deepsec pada beberapa repository open source milik customer dan partner. James Perkins, Co-founder dan CEO Unkey, mengatakan bahwa scan deepsec merupakan yang paling thorough dengan true-positive rate yang baik. Steven Tey, Founder dan CEO dub.co, menambahkan bahwa deepsec adalah tool pertama yang menemukan issue yang sebenarnya ingin ditandai oleh security engineer, dan tool ini berjalan di infrastruktur yang mereka kontrol.

Tingkat false positive deepsec berada di kisaran 10 sampai 20 persen. Mengingat dampak dari temuan true positive, tim Vercel merasa angka ini masih bisa diterima. Sistem plugin memungkinkan custom scanner berupa regex matcher yang disesuaikan dengan model auth, data layer, atau konvensi tim. Tim disarankan menggunakan coding agent untuk menulis matcher berdasarkan temuan dari scan awal.

Deepsec juga berfungsi dengan model off-the-shelf, meskipun Anthropic dan OpenAI menyediakan versi "cyber" dari model mereka yang di-fine-tune untuk tugas keamanan. Deepsec memiliki classifier yang memeriksa apakah task ditolak setelah setiap research step, dan menurut pengalaman tim Vercel, refusal hampir tidak pernah terjadi untuk Opus 4.7 dan GPT 5.5.

Untuk memulai, developer cukup menjalankan npx deepsec init di root repository. Command ini akan membuat direktori ./.deepsec untuk konfigurasi dan katalog investigasi. Dokumentasi lengkap tersedia di GitHub repository Vercel Labs.

Sumber: Vercel Blog