是工具也是平台 海云安开发者安全智能助手(D10)升级解读

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2024-04-09
央行在去年发布《中国人民银行领域数据安全管理办法(征求意见稿)》在前,国家金融监督管理总局最近发布《银行保险机构数据安全管理办法(征求意见稿)》在后,两大意见稿未来的最终落地执行,意味着今后金融行业数据安全风险将会纳入全面风险管理体系当中,该行业数据安全体系化建设也将进一步提速,对于处在全面数字化转型时代下的中国金融机构而言,也需要在相关章程指引之下积极地做好数据安全工作。
 
 
如何做好数据安全工作,这是一个复杂的问题,而解决好系统不断出现的漏洞则是其核心工作之一。当前,数字化转型已走过数年时间,AI大模型技术的出现,为企业利用好数字技术升级服务提供了进一步可能。以金融行业为例,其获客的基础就是不断地科技创新,这也导致其系统迭代更新超过以往,如何在源头解决好安全漏洞问题,软件和系统开发阶段的安全工作尤为重要。
 
海云安,是一家位于深圳的创新型网络安全公司,这家企业在去年年底刚刚获得“2023年粤港澳大湾区金融科技甪端20企业”荣誉称号,作为一家立足于大湾区服务全国的安全企业能够获得这一独特称号,代表着其专业化安全服务得到了金融行业的高度认可。安全419了解到,海云安此前推出一款开发者安全智能助手(D10)的产品,这款产品目前在金融行业广泛应用,最近该产品也迎来技术上的再次升级。
 
D10既是开发工具也是安全平台 定位海云安未来拳头级产品
 
海云安公司理念定位“左移开发安全,右拓安全运营”,目前对应有三大业务产线,分别是开发与供应链安全、数据安全与隐私合规,以及全面的安全服务业务。据了解,开发者安全智能助手(D10)是海云安开发与供应链安全产品线下的最新产品,定位公司未来的拳头级产品。海云安对其自身定义为:不仅是海云安开发与供应链安全产品体系中的关键组成部分,更是承载了海云安对“安全左移”的所有认知和实践经验总结的一款产品。
 
从用户层面去理解这款D10,其前提是当“安全左移”思想已深入各行各业,如何解决软件和系统的漏洞问题,做好开发阶段的代码检测与分析已成为业务更新迭代的刚性需求。
 
详细说明这一问题原因有三:其一,监管越来越严格,网络安全和数据安全是第一要务,仍以金融行业为例,当数据安全风险纳入全面的风险管理体系当中,意味着其安全问题的高度将会成为开展日常业务的第一要务;其二,各行业企业IT系统数量越来越多,数字技术和功能创新导致系统迭代速度更为频繁,尤其是金融行业,为了避免安全问题堆积,做好开发安全和管理工作尤为重要;其三,无论对于管理人员还是开发者自身,对代码质量上要求也在不断提升,除了避免安全问题,代码本身的优化对于开发者自身同样重要。
 
基于以上这些因素,海云安推出了这款开发者安全智能助手(D10)的产品,其官方对其定义是:“开发者安全助手系统(D10)是海云安公司基于丰富的开发安全经验,结合人工智能AI技术研发而成的一套工具,其目的是实现安全高效左移,全面提升开发者安全能力。”在实际应用当中,作为专为开发者设计的编程辅助工具,其能够提供全面的代码安全保障和提升编码效率,海云安的愿景也是希望D10能够成为研发人员不可或缺的重要生产力工具。
 
从我们了解来看,开发者安全智能助手系统(D10)主要汇聚了海云安以下技术能力以及对于开发安全工具在用户侧具体落地的多维思考。
 
首先就是海云安在开发安全方面多年的技术积累与产品沉淀,开发者安全智能助手系统(D10)通过融合海云安多年经验积累且落地的SAST(静态应用程序安全测试)、SCA(软件成分分析)两项优势技术能力,这也是其能够成为一款能够被广泛应用的安全开发工具的前提;其次是此前海云安与教育机构联合成立了AI安全实验室,如今AI大模型方面技术成果已被融合到该系统当中,从而提供一些新的技术应用与效能上的提升;另外海云安多年构建并持续丰富的开源组件知识库也被应用到该助手产品当中,从而让助手名号更加名副其实;从具体落地方面,该助手产品还增加了行业内的安全合规标准,从“多标融合”角度让开发者从编码伊始就能做好安全合规工作。
 
开发者安全智能助手(D10)的主要定位仍然是安全,所以其核心的功能定义是在安全和合规前提下,以助手姿态,进一步提供开发者在开发阶段的代码质量与效能上的全面提升。
 
在我们了解完海云安开发者安全智能助手(D10)的自身定位及基本功能之后,我们再回到客户层面来看一下这款产品的核心价值。通过海云安技术人员的演示讲解之下,我们看到这款产品在客户侧实践落地时,分为面向开发团队开发者使用的前台系统,以及面向管理者使用的后台系统。
 

(海云安开发者安全智能助手产品架构)
 
其中前台系统通过封装SAST、SCA技术实现应用测试与代码分析,通过集成开源组件知识库和针对各行业安全合规标准,再通过AI大模型技术的赋能加持,从而贯穿开发者在开发阶段的安全与效能等方面的各项应用。
 
比如开发者可通过使用开发者安全智能助手(D10)的代码补全、交互式问答等功能帮助用户添加代码注释、优化代码、解释代码、按照需求生成代码等,即可以很好地解决日常研发关注度高的典型系列问题,从而大幅提升研发效率和代码质量。
 
其次是可以快捷地发现源码本身存在的安全缺陷和质量问题、开源组件安全及合规风险;通过使用AI漏洞解释、AI自动生成修复方案功能快速理解漏洞源码成因和漏洞修复,有效提升代码质量和安全性的同时,也能够最大限度地降低漏洞风险的发现及治理成本。
 
后台系统则主要为管理者提供多维视角下的整体开发安全管理工作。比如后台可以从某一开发项目作为切入视角,让管理者可以追踪到项目安全开发的整体进度。又或者可以从单一爆发的高危漏洞修复情况来跟踪管理整体代码修复问题等。即后台管理端可对开发者用户各项功能使用记录进行统计分析,从产品实际使用,对检测的代码安全和质量进行多维度的数据统计分析,进而为开发安全管理提供决策支持。
 
也就是说,海云安开发者安全智能助手(D10)既是一款面向开发者用户兼具安全与效能的开发工具,也是面向管理人员总揽全局的安全开发管理平台。其总体解决的是从安全与效能两大视角下的软件开发过程中开发周期长、项目成本高、代码质量差、团队管理难等诸多问题。
 
AI技术大升级 大模型持续调优误报率大幅降低提升漏洞自动修复水平
 
AI技术从机器学习演进到深度学习的大语言模型时代,由该技术全面赋能工具改进传统业务成为各行业厂商当前核心突破的技术方向之一。在安全产业,各网络安全厂商都在加快落地由大模型技术带来的AI赋能,并不断通过技术调优深化其最终应用。海云安就是AI大模型在开发安全领域应用落地的代表厂商,如今其推出的安全垂类“智乘AI大模型”的能力也再次得到了升级。
 
海云安认为,通用大模型的崛起,归因于大规模数据的充分应用。大模型在垂直领域的成功应用,则依赖于高质量领域数据的支持。在开发安全领域,海云安作为一家专注于开发安全的网络安全技术公司,其积累了大量系统且高质量的代码安全数据以及专业知识库,这为大模型在开发安全领域的落地提供了坚实的基础。其进一步强调,在开发安全领域,静态代码检测技术将因为大语言模型的出现,未来将会有产生变革的可能。
 
 
我们了解来看,此次海云安开发者安全智能助手(D10)重点就是对AI大模型进行了优化升级,对应解决的是“安全左移”至开发阶段过程中必须解决好的两大问题,一个是降低源码检测工具的误报率,另一个是降低漏洞修复所需的安全技能水平。
 
首先这两项功能都是AI大模型介入到D10助手产品当中的核心功能,也是客户侧的核心诉求。海云安在阐述此次升级的重要性方面指出,只有当误报率得到有效控制,减少研发人员在处理误报上的负担,他们才会更愿意在开发环境中主动使用检测工具。同时,通过技术手段降低漏洞修复的难度,提升研发人员独立解决安全问题的能力,才能真正推动“安全左移”在研发实践中的落地实施。
 
从我们了解到的具体成果方面,通过AI大模型方面技术的重点提升与优化,比如在误报率降低方面通过引入深度学习,通过对用户审计记录的学习,评估检测规则的有效性,并自动冻结误报率高的规则,同时进一步利用大模型进行误报过滤。从而在实际使用中,D10可以把误报率控制在10%以下。
 
在漏洞自动修复方面,海云安优化了逻辑推理框架和微调训练的数据结构,其在原有数据基础上扩充了数据属性,包括漏洞类型、漏洞代码、修复后代码、代码描述、漏洞信息、修复建议及修复过程,这些属性共同构建了完整的逻辑框架,从而提高了实际微调训练效果。目前,D10的漏洞自动修复技术已覆盖70%以上的高危漏洞类型,生成的修复代码准确性超过80%。
 
此外,海云安D10此次升级还解决了具体落地时客户层面的实际问题,其被归纳为基于安全合规要求下的本地部署上的支持,以及对应的算力优化,另外在不同行业上的具体落地时,AI大模型也需要兼具不同行业的不同属性应用。最后一个问题方面比如海云安就总结发现不同企业在编写代码方面往往具有独特性,其代码风格、API调用逻辑等都会有所不同,这与其具体的业务紧密相关,因此也需要针对性地明确编码规范。
 
针对上述问题,海云安则针对以下几大方面进行了优化。首先在安装和部署流程方面,海云安可通过提供软硬件一体机的支持方式,实现快速的本地化部署,同时也支持在客户提供的硬件资源上快速适配和部署。通过这两种方式可以快速完成整套系统的安装、部署、调试。针对计算资源的限制方面,其则通过反复调优和模型裁剪,在确保实际效果(包括推理精度和推理速度)的前提下,成功将模型大小裁剪至原来的一半,对推理资源的要求大大降低。此外,海云安还通过大模型的工程化的手段,为客户提供了快速、便捷的个性化微调功能,支持在客户本地环境基于其自身业务数据进行个性化微调。
 
海云安告之安全419,经过本次升级,D10在代码效能方面也取得了显著的提升,在一些关键指标项上达到国内顶尖水平。从总体视角来看,其将安全、合规、质量、效能融为一体的开发者安全智能助手,目前已在广东、四川、北京等多地进行了推广与落地,特别是在粤港澳大湾区的金融领域客户应用更加广泛。
 
海云安还分享了其在D10产品在客户一侧实际使用过程中的数据表现,从为期六周的POC测试,投入超过60名开发人员使用结果来看,通过D10生成的漏洞修复代码准确率超过了80%,首行代码补全的正确率超过60%。总体而言,参与试用的开发人员在研发效率方面有了明显提升,千行代码的漏洞率大幅降低。由于人工智能技术的全面赋能,D10在实际使用过程中给客户最大的感受是个体的技能或经验水平越低,在实际使用D10过程中所实现的质量、安全、效率提升幅度就越大。
 
尾话.AI应用重在持续调优
 
在与海云安本次的交流过程中,安全专家现场对开发者安全智能助手(D10)的前后台的重点功能做了一一演示,给我们的感受是其垂类安全大模型在具体落地应用时正朝着多面性应用不断发展,从而以“助手”之名实现开发安全为前提视角下的全面高效辅助应用。
 
从安全角度来讲,其重点在于AI技术可以更好地发现和补充代码缺陷的具体成因,让开发人员可以更好地理解问题并解决问题,也避免了此后再有同样的问题出现。同时在优化AI模型能力之后,其在漏洞修复方面也有了较大提升,在重点漏洞方面,其能够根据实际情况自动生成对应的修复代码,从而帮助开发人员降低漏洞修复难度。整体而言,通过AI技术的加持,其从发现问题,到解决问题的闭环处理能力正在持续增强。
 
由于通过AI大模型技术的加持和针对行业应用场景上的持续调优,D10产品在辅助代码编写方面对于开发人员来说具有极高的应用价值,对于不同的开发环境,应用该产品其可以快速生成匹配度更高的高质量代码,作为“助手”产品,也真正意义上地提高了开发人员的工作效能。
 
行业人士曾评价认为,在AI大模型当前应用阶段而言,基于实践过程中的阶段性调优将是产品化过程中的必然。海云安也向安全419表示,本次技术升级也是其阶段性成果的一小部分,D10产品未来各项功能点,以及核心的AI大模型方面技术上的持续调优和升级,尤其是在私有化部署方面,将是其今后的长期工作。