隨著研發(fā)模式的不斷發(fā)展，基于DevSecOps理念的開發(fā)安全體系建設(shè)變得越來越重要，層出不窮的軟件供應(yīng)鏈安全事件也在不斷的提醒我們開發(fā)安全的重要性。同時，隨著人工智能大模型技術(shù)的快速發(fā)展，開發(fā)安全技術(shù)也面臨著全新的機(jī)會和挑戰(zhàn)。

近日，騰訊安全組織的“DevSecOps行業(yè)實踐經(jīng)驗分享會”在上海舉辦。

安全領(lǐng)域資深專家新加坡南洋理工大學(xué)劉楊教授、vivo應(yīng)用安全負(fù)責(zé)人袁俊虎、騰訊開發(fā)安全產(chǎn)品規(guī)劃負(fù)責(zé)人劉天勇，與來自長三角地區(qū)的30多位企業(yè)應(yīng)用安全負(fù)責(zé)人齊聚一堂，共同探討了企業(yè)踐行“安全左移”理念，落地DevSecOps過程中的困難、挑戰(zhàn)和應(yīng)對經(jīng)驗。同時，嘉賓們也圍繞人工智能大模型技術(shù)崛起給企業(yè)從事應(yīng)用開發(fā)安全建設(shè)帶來的機(jī)遇和挑戰(zhàn)。

AI大模型已經(jīng)運用在了漏洞檢測和修復(fù)中

長期深入研究AI和安全融合的劉楊博士，是新加坡南洋理工大學(xué)（NTU）計算機(jī)科學(xué)與工程學(xué)院教授，同時也是NTU網(wǎng)絡(luò)安全實驗室主任、HP-NTU實驗室主任以及新加坡國家卓越衛(wèi)星中心的副主任、Scantist聯(lián)合創(chuàng)始人。

他專攻軟件工程、網(wǎng)絡(luò)安全和人工智能領(lǐng)域，其研究填補(bǔ)了軟件分析中多項理論和實際應(yīng)用之間的空白，研發(fā)了多款高效的軟件質(zhì)量和安全檢測平臺并成功商業(yè)化。

劉楊博士的分享主題，涉及了人工智能技術(shù)如何與DevSecOps流程和工具進(jìn)行合作和集成，以提高安全開發(fā)和運維的效率。

早在2019年，人工智能領(lǐng)域就提出了一種創(chuàng)新的安全思路——將機(jī)器學(xué)習(xí)引入到漏洞檢測領(lǐng)域，以期提高效率和準(zhǔn)確性，在此階段，相關(guān)研究實際上是把代碼的當(dāng)成文本來去處理。

劉楊博士及其研究團(tuán)隊認(rèn)為，將代碼視為純文本可能會導(dǎo)致與其本來的語義產(chǎn)生差異。他們的基本思路是將代碼中的結(jié)構(gòu)化信息，如抽象語法樹（AST）和其他復(fù)雜數(shù)據(jù)結(jié)構(gòu)，轉(zhuǎn)化成神經(jīng)網(wǎng)絡(luò)，然后利用這些信息來學(xué)習(xí)代碼的語義。實驗結(jié)果表明，在使用代碼的結(jié)構(gòu)化信息進(jìn)行訓(xùn)練時，漏洞檢測的效果更好。

但在實際應(yīng)用過程中，由于可用于訓(xùn)練機(jī)器學(xué)習(xí)模型的漏洞數(shù)據(jù)量有限，劉楊博士帶領(lǐng)科研團(tuán)隊不斷探索更加具有可落地的解決方案，在大量的實踐及創(chuàng)新之后，AI賦能安全建設(shè)的落地場景逐漸顯現(xiàn)。劉楊博士強(qiáng)調(diào)，Secure Dev（安全開發(fā)）、Security Analysis（安全分析）以及Secure Ops（安全運維）等場景都可以受益于使用AI大模型來提升安全性。未來，或許AI將在更多的場景中助力安全體系的建設(shè)，通過對話和交互的方式來獲取代碼的安全建議，從而減少對專業(yè)安全人員的依賴。

騰訊把自身DevSecOps實踐深深融入產(chǎn)品中

“騰訊是開發(fā)安全產(chǎn)品的提供商，同時我們也是國內(nèi)首批DevSecOps的實踐者。這讓我們同時具備甲乙方雙重視角，更容易站在客戶立場來做產(chǎn)品?！?/span>

簡單的開場白后，騰訊開發(fā)安全產(chǎn)品規(guī)劃負(fù)責(zé)人劉天勇跟在場嘉賓介紹起了騰訊作為一家非常重視應(yīng)用開發(fā)安全的大公司，是如何向DevSecOps一步一步的演進(jìn)的。

騰訊的應(yīng)用開發(fā)安全建設(shè)歷程，可以追溯到2006年，最初的工作是圍繞漏洞響應(yīng)、漏洞檢測和漏洞修復(fù)展開。到了2012年，隨著公司業(yè)務(wù)的不斷發(fā)展，騰訊開發(fā)安全團(tuán)隊結(jié)合微軟SDL和SAMM優(yōu)點，提出了自己的企業(yè)級軟件安全開發(fā)生命周期模型——TSDL。這一階段騰訊采用了自研黑盒+外購商業(yè)化白盒的工具組合來構(gòu)建檢測流程，同時建立了騰訊應(yīng)急響應(yīng)中心（TSRC）補(bǔ)全了外部漏洞防御短板，相關(guān)的流程規(guī)范也在逐漸的落地。

2017年到2019年，公司的開發(fā)模式開始向DevOps轉(zhuǎn)型，騰訊開始以DevSecOps理念建設(shè)開發(fā)安全。這一階段，原有商業(yè)化采購的白盒產(chǎn)品由于速度慢、誤報高、資源占有高，無法很好適應(yīng)流水線場景。為DevSecOps場景而生的新一代開發(fā)安全產(chǎn)品Xcheck應(yīng)運而生，Xcheck采用獨家自研的技術(shù)路線，有效的解決了傳統(tǒng)白盒在流水線場景的使用問題，在騰訊內(nèi)部實現(xiàn)了對原有商業(yè)化產(chǎn)品的替換，并在2021年開始面向市場商業(yè)化。

21年底，log4j事件的爆發(fā)，讓軟件供應(yīng)鏈安全的重要性深入人心，騰訊Xcheck也將內(nèi)部強(qiáng)大的源碼+二進(jìn)制SCA能力集成到產(chǎn)品中，形成了集SAST+SCA+制品掃描一體化的開發(fā)安全檢測平臺。

如今，騰訊已完成了DevOps研發(fā)模式的轉(zhuǎn)型，以Xcheck為代表的開發(fā)安全工具和內(nèi)部研效平臺深度集成，經(jīng)受住了海量檢測任務(wù)的考驗。DevSecOps理念已在騰訊落地實踐并形成了公司文化。

vivo的DevSecOps建設(shè)關(guān)鍵步驟和工具

最后，騰訊Xcheck的代表客戶vivo也進(jìn)行了專題分享。vivo互聯(lián)網(wǎng)應(yīng)用安全負(fù)責(zé)人袁俊虎分享了vivo在互聯(lián)網(wǎng)DevSecOps建設(shè)過程中的關(guān)鍵步驟和工具。

在流水線（代碼）安全掃描流程中，提供源代碼層面的安全風(fēng)險發(fā)現(xiàn)與排查能力，以確保在開發(fā)階段及時發(fā)現(xiàn)存在安全隱患的安全漏洞與不規(guī)范編碼問題。同時，將SAST、SCA等DevSecOps安全工具鏈默認(rèn)集成于CICD流水線，持續(xù)提供掃描和反饋項目代碼增量風(fēng)險的能力。

在安全測試流程方面，主要依賴IAST工具來覆蓋常規(guī)版本的安全測試，通過將IAST與CICD流水線集成，在部署測試環(huán)境時默認(rèn)開啟IAST Agent，于功能測試環(huán)節(jié)完成安全風(fēng)險檢測，之后形成漏洞工單完成處置閉環(huán)。

在袁俊虎看來，安全工具鏈?zhǔn)荄evSecOps建設(shè)的基礎(chǔ)，將這些工具嵌入研發(fā)體系，確保它們與平臺集成，漸進(jìn)的融合和持續(xù)的改進(jìn)，從而實現(xiàn)安全流程的融合。最后安全文化是DevSecOps建設(shè)的核心，只有安全工具和安全流程具備一定的成熟度，才能更好的推動安全文化的落地，實現(xiàn)“人人為安全負(fù)責(zé)“，從而實現(xiàn)理想狀態(tài)的DevSecOps。

了解更多，歡迎瀏覽：https://xcheck.tencent.com/index