数字经济时代,伴随着数字应用编程开发方式、应用协作发布方式、应用架构设计和基础设施运行环境的变化,我们熟知的软件供应链安全正向数字供应链跃迁式演进,数字供应链安全风险亦日趋严峻。为了应对覆盖全生命周期的数字应用安全风险,打造安全可信的数字供应链,各行业的企业组织正积极拥抱DevSecOps并付诸实践,通过一套全新的方法论及配套工具链将安全能力完整嵌入整个DevOps体系,在保证业务研发效能的同时能够实现敏捷安全共生和自成长。
AI时代下,激发创新的同时也大幅增加了复杂性,开发人员在将人工智能集成到DevSecOps工作流中时,面临着特别的挑战:
比如,开发速度 ,开发人员通过人工智能生成的代码比质量保证(QA)测试的速度要快,但质量保障流程必须与自动化测试工具一同演进,跟上开发步伐,确保质量无误。
AI生成的代码并不是完美无瑕,出了功能性测试外,安全性测试同样至关重要,即使是AI编写的代码,也存在漏洞。
更多的AI资产需要更多验证的内容,包括幻觉。将AI应用在它真正擅长的领域,同时通过强有力的监督保持系统的稳定性。
在整个软件开发过程中,忽视质量的而追求AI速度的优先性可能会带来严重后果,甚至决定企业成败。用AI的方式治理AI或许才是正解。
比如,国内知名DevSecOps领域厂商悬镜安全主要围绕其核心的“AI智能代码疫苗”技术展开,通过将AI技术深度融入软件开发生命周期的各个环节,实现从开发到运营的全流程安全赋能。
比如 源鉴SCA快速扫描数字应用和容器镜像中存在的各类开源风险,基于LLM大模型,实现AI自动化分析开源许可证风险,帮助企业全面了解许可证法律合规问题。且提供AI成分分析能力,快速检测AI生成代码。规避其潜在安全风险。
灵脉SAST从源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。提供快速检测能力,检测速度可达百万行/小时。基于AI大模型智能聚类分析,检测结果精确,各语言误报率不超过15%,漏报率不超过13%。
灵脉PTE自动化渗透测试平台,借助先进的AI算法不断进行“智力”成长和逻辑推理决策,以贴近实际人工的方式,持续性全方位的对给定目标进行从信息收集到漏洞利用的渗透测试,从而降低人力成本,提高测试效率。
云脉XSBOM数字供应链安全情报预警平台,基于AI安全大数据云端分析能力,实时对全球数字供应链安全漏洞、投毒情报进行动态监测,并交叉验证风险,使用专业的情报发布标准,确保漏洞情报快速可靠。
同时可以联动赋能SCA、IAST、SAST、RASP、PTE和ASPM等敏捷安全工具,增强从代码开发到上线运营的全周期安全风险监控和响应能力,实现全面安全保障。
夫子ASPM开发安全态势管理平台实现DevSecOps全流程安全一站式管理,借助AI赋能算法,ASPM平台可实现漏洞数据统一收集和格式化;通过漏洞风险的综合关联分析,确定修复优先级。通过运用安全运营指标数据看板,帮助组织快速识别和定位应用中需要优先处理的风险点,并结合平台提供的修复方案进行快速闭环修复。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。