直播回顧 | 騰訊安全先行者：掌握安全先機，DevSecOps安全免疫提升之道

次閱讀 ? 作者：網(wǎng)絡(luò)? 來源：網(wǎng)絡(luò) ? 2023-09-28

摘要： 9月22日下午，騰訊聯(lián)合安在新媒體推出線上直播

數(shù)字時代傳統(tǒng)安全理念應(yīng)對復(fù)雜威脅顯得滯后，企業(yè)需要圍繞發(fā)展目標建設(shè)安全新范式。為此，騰訊安全聯(lián)合IDC發(fā)布了數(shù)字安全免疫力模型框架，以免疫的視角助力企業(yè)兼顧安全建設(shè)與企業(yè)發(fā)展企業(yè)建設(shè)免疫力。

框架中，底層圍繞數(shù)據(jù)安全治理和業(yè)務(wù)風險控制，設(shè)置了防御縱深，以保護企業(yè)兩大關(guān)鍵生產(chǎn)要素。第二層也是整個體系的中樞，它以人為核心，貫穿企業(yè)戰(zhàn)略、組織流程等全部運營模塊，各個系統(tǒng)之間高效合作，是保障企業(yè)長期、健康、穩(wěn)定的運行，實現(xiàn)風險可控的基礎(chǔ)。

通過構(gòu)建邊界安全、端點安全、應(yīng)用開發(fā)安全，牢固基礎(chǔ)屏障，能在對外部攻擊進行控制和阻斷的同時，對內(nèi)部實現(xiàn)動態(tài)化防御，以確保端點及應(yīng)用開發(fā)安全性。數(shù)字安全免疫力模型強調(diào)前置投入，其將安全要素融入各個環(huán)節(jié)，從戰(zhàn)略組織與人才層面、技術(shù)層面、流程和運營層面破局，幫助企業(yè)提高韌性，抵御未知風險。

而在9月22日下午，為了更好地將此框架展現(xiàn)給眾人，騰訊聯(lián)合安在新媒體推出線上直播，以此作為騰訊安全先行者系列活動之一。此次直播由易寶支付信息安全總監(jiān)郭東升，騰訊開發(fā)安全產(chǎn)品規(guī)劃負責人劉天勇共同分享，他們分別從甲乙兩方的角度，通過在軟件供應(yīng)鏈安全上的具體實踐，為我們解讀了數(shù)字安全免疫力模型框架的重要性。本次直播的主持人為安在新媒體創(chuàng)始人張耀疆。

特別鳴謝：直播期間，感謝觀眾對于直播內(nèi)容做了完整的梳理筆記，對照筆記中的幾處重點邏輯，我們也重新進行了更詳細的內(nèi)容梳理和擴充，下文會將更為完整的解讀呈現(xiàn)出來。

軟件供應(yīng)鏈安全到底是老問題還是新問題？

張耀疆：軟件供應(yīng)鏈安全的概念非常多，五花八門，因此總會給人產(chǎn)生一種疑惑，我們關(guān)注的到底是一個老問題還是新問題？像業(yè)內(nèi)專家提出的那樣，安全這條道路上，可以用老技術(shù)解決老問題、用新技術(shù)解決老問題用、老技術(shù)解決新問題、用新技術(shù)解決新問題，所有的創(chuàng)新都會在這四個象限之中，那軟件供應(yīng)鏈安全又屬于哪一象限？
劉天勇：SDL、DevSecOps再到軟件供應(yīng)鏈安全，這三個名詞的演進，代表著軟件供應(yīng)鏈安全從老問題發(fā)展為了新問題。SDL的中文意思是軟件生命周期的安全，其更多解決的問題是，在傳統(tǒng)的軟件開發(fā)環(huán)節(jié)，把安全檢測融入進去，做一個相對來講更偏第三方的檢測。
而從SDL到DevSecOps，其實象征著軟件供應(yīng)鏈安全從老問題變成了新問題，因為研發(fā)模式變了。相當于研發(fā)模式從原來的瀑布式開發(fā)變成了流水線開發(fā)，變成了DevOps開發(fā)，所以以前SDL理念對應(yīng)的問題就變成了DevOps對應(yīng)的新問題，而為了解決新問題，于是有了DevSecOps。研發(fā)模式帶來的新問題，有流水線的集成效果，集成之后的落地方案，以及對于整個流水線效率的影響和安全效果之間的平衡。
軟件供應(yīng)鏈安全和DevSecOps，更像是一個大問題的兩個維度。DevSecOps是從甲方的研發(fā)視角入手，和研發(fā)模式掛鉤。而軟件供應(yīng)鏈安全，是站在一個更宏觀的視角來看待所有供應(yīng)鏈上的問題，包括第三方開源組件會帶來的風險。所以說軟件安全這個概念相當于是一個新的問題。
以上是四象限的橫軸，在坐標的縱軸上，還有SST、DAST、AST、RASP這些技術(shù)，除了RASP外，其他很多技術(shù)早已被gartner提出。而騰訊安全在技術(shù)領(lǐng)域，尤其是SAST和SC這兩個技術(shù)方向上，都做了相應(yīng)的創(chuàng)新，是面向DevSecOps理念而做成的新一代SAST和SC技術(shù)，所以從四象限來看，確實是新技術(shù)解決新問題，同時這個技術(shù)本身也能解決老問題。

對甲方來說，如何看待軟件供應(yīng)鏈安全？

張耀疆：從用戶的角度來看，在實踐的時候，需要這么明顯的區(qū)分斷代嗎？還是可以無所謂各種概念？
郭東升：甲方做體系化建設(shè)時，主要還是根據(jù)需求出發(fā)。業(yè)內(nèi)的這些名詞和解釋，做的是一個具象化的定義，其落到甲方帶來的是能力的增長。而甲方更關(guān)注的是痛點，即“能不能解決問題”，這是最重要的。
比如早期安全人員會采用一些黑盒掃描器，在上線前對產(chǎn)品做一些測試和掃描，最終在上線之前推動漏洞的修復(fù)。而這個過程成本很高，因為代碼已經(jīng)開發(fā)完畢，如果測出漏洞就會耽誤產(chǎn)品上線的時間，因此安全部門常會和業(yè)務(wù)部門在上線前后起沖突，這也就導(dǎo)致了甲方的安全工作很難推動。這是第一階段。
隨著產(chǎn)品的開發(fā)方式變化之后，這種模式已經(jīng)不適用于甲方的安全工作了，這時甲方的掃描工具會基于規(guī)則，像灰盒檢測等。但這也產(chǎn)生了新的問題，比如誤報率比較高。像第一代的白盒掃描工具，誤報率可達70、80以上，這就導(dǎo)致安全部門需要安排大量人員去排除這種誤報，人員不夠，反過來就是增加開發(fā)的工作量，而開發(fā)部門則會認為安全部門的能力是不夠的，便不會愿意配合修復(fù)漏洞，這是惡性循環(huán)。
因此對甲方而言，其所要求的安全工具不能只基于一種規(guī)則，而是要基于比如動態(tài)的靜態(tài)掃描，比如解析器能夠覆蓋大量的語言腳本，然后能幫助甲方更準確的發(fā)現(xiàn)漏洞，同時要能提高發(fā)現(xiàn)效率。就像如果有工具能在整個代碼倉庫里，對一些增量代碼做一個快速、全量的識別，這樣就可以大大減輕甲方安全人員的工作時間，甲方安全人員因此可以聚焦在某些告警出來的問題上。

不同的發(fā)展階段，安全人員的管理職能有何變化？

張耀疆：不同的發(fā)展階段，安全角色的職責也發(fā)生了改變，從最初的獨攬安全大權(quán)，到現(xiàn)在，往往會需要其他部門的配合，那在此過程中，安全人員在管理職能、治理方式上有著怎樣的變化？
郭東升：首先，工作模式的變化帶來了工作量的增多。早期，安全人員通過挖漏洞、滲透測試和黑盒掃描，在產(chǎn)生相應(yīng)的報告后，可直接給到開發(fā)人員做修復(fù)。這種方式的漏洞檢出率比較高，但因為基于的個人經(jīng)驗，其局限性也比較強。所以之后通過白盒審計的方式，安全人員可把整個代碼參數(shù)，全量的、增量的都通過相應(yīng)的形式過一遍，這樣就能夠覆蓋完整，安全上也不會有遺漏。而帶來的工作量增加，就需要和組件部門或開發(fā)人員做一些前期的安全培訓(xùn)，以及安全漏洞修復(fù)工作，這個過程會變成安全運營人員一項重要的工作。
劉天勇：DevSecOps有一個非常重要的指導(dǎo)原則和理念，叫做人人對安全負責。在踐行這個理念時，會把安全任務(wù)和安全責任，從單純的只讓SDL團隊負責，變成讓整個業(yè)務(wù)一起來為這部分內(nèi)容負責。而在這個角色的變化過程中，有幾個特別明顯的點，第一是身份的變化。在以前的邏輯下，安全SDL團隊的定位更像第三方審計，而在現(xiàn)在的DevSecOps框架之下，其更多變成了安全能力的提供方，而安全能力的使用方變成了業(yè)務(wù)本身。
第二是角色的變化。以前角色比較簡單，可能就是開發(fā)和安全兩個角色，而在DevSecOps里，可能還有第三、第四個角色，就是除了安全和開發(fā)外，還有運維和研效（研發(fā)效能）。研效團隊負責整個公司企業(yè)內(nèi)部DevOps平臺建設(shè)，因此人員角色分配上，就變成了由安全團隊提供能力和工具，由研效團隊實現(xiàn)集成和耦合，以及整個鏈條的打通，再由真正的業(yè)務(wù)團隊、開發(fā)團隊來進行實際的使用，使用之后的結(jié)果，再回到安全團隊來進行修復(fù)的指導(dǎo)。整個安全團隊會把更多的重心放在運營角度、度量角度，而不是純檢測的維度。

數(shù)字安全免疫力具體是什么概念和狀態(tài)？

張耀疆：數(shù)字安全的免疫力不是簡單的工具和產(chǎn)品，不是在某個環(huán)節(jié)就能夠?qū)崿F(xiàn)的，因此它的概念是圍繞體系化建設(shè)要有一個平臺級的整合，需要不同部門共同來協(xié)作，還是單純的只是各個產(chǎn)品的組合？
劉天勇：在公認的DevSecOps理念方法論上，會拆成三個維度。第一個維度叫技術(shù)工具，第二個維度叫組織架構(gòu)，第三個維度叫流程制度，三個維度要三管齊下，才能真正去落地實踐。技術(shù)工具方面，安全團隊是所有方，安全人員需要把工具放到大的開發(fā)平臺里，并基于工具設(shè)置相關(guān)的基線、相關(guān)的流程制度，以及一些管理上的要求。
流程制度方面，包括了制定公司的安全代碼規(guī)范，包括內(nèi)部和研發(fā)團隊共同形成的公司的某個語言框架使用規(guī)范，包括基于外部開源框架來形成的公司內(nèi)部的二開框架，還有編碼規(guī)范，以及人員的培訓(xùn)和考試，當然也會包括一些在流水線中的阻斷判斷。
組織架構(gòu)方面，需要不同的團隊圍繞DevSecOps平臺共同協(xié)作。騰訊內(nèi)部，各部門會共同依托于整個大的平臺，把安全作為一個柔和的、嵌入自動化的集成。因此對于開發(fā)來講，并不會有很強的任務(wù)感受，覺得安全部門又在搗騰新標準了，而是相當于在原有的使用場景之下，加入了一些柔和嵌入的環(huán)節(jié)，這樣大家的分工就會清晰很多。研效團隊負責平臺運營，安全團隊負責安全工具的運營，等等。

對甲方來說，軟件開發(fā)安全是怎樣運作的？

張耀疆：軟件開發(fā)是安全人員的日常工作，在具體實踐中，甲方用戶平時會怎么去做？有沒有可擴展的地方？
郭東升：在具體落地過程中，每一家公司的體量、企業(yè)文化、發(fā)展階段、研發(fā)團隊的成熟度，決定了最終會如何落地。安全屬于后端部門，和中臺和前場的聯(lián)動時，需要提供安全能力的展示，通過對其他部門的服務(wù)，來改變眾人對安全的認識。
如何讓其他部門感受到安全服務(wù)的價值？這就需要安全部門在前期提供很多的能力，比如真正把工具落地到企業(yè)內(nèi)部，能讓研發(fā)團隊使用起來，這需要安全部門結(jié)合很多攻擊事件、漏洞發(fā)生的概率，包括能夠提高產(chǎn)品代碼質(zhì)量的能力，以此來影響研發(fā)人員對安全的重視。
安全人員要以技術(shù)高地的立場要求自己，要能提供真正有價值的東西，而不是基于合規(guī)壓力或者基于需要體系化的建設(shè)，才去買什么工具，不然最終在落地之后，往往會把安全在整個技術(shù)團隊里的形象拉低。只有通過重要的安全事件推動，來影響高層對安全團隊的支持，同時提供真正的能力，讓產(chǎn)品研發(fā)團隊能夠切實感受到在安全人員的幫助之下，把他們的代碼，比方從100個漏洞變?yōu)榱?0個漏洞，這才是甲方能把工具和制度流程真正落下來的一個關(guān)鍵因素。

軟件供應(yīng)鏈安全中一些痛點和經(jīng)驗

張耀疆：DevSecOps運作過程中，或說軟件安全工作中，會有不少曾經(jīng)踩過的坑和疑難雜癥，印象最深刻的有哪些？
郭東升：產(chǎn)品上線之前，安全部門會對一些小功能做一些抽查，在這個過程就會遇到一些問題。比如一些創(chuàng)新產(chǎn)品項目在立項過程中，在其第二次大版本的更新時，只走了老的流程，就是只做了小版本的流程申請，而這對安全部門來說，是一個比較大的代碼更新，因此安全部門就需要對其做一些覆蓋，而這個過程中，只使用過去的安全工具，效率會比較低，從掃描到復(fù)測，到最終上線，這一整個流程時間非常長，其周期已遠遠大于了它上線的節(jié)奏，而這卻是個不可調(diào)和的矛盾。
在使用了新的工具后，安全人員可以給開發(fā)人員的開發(fā)工具設(shè)置插件，或者給開發(fā)人員做培訓(xùn)，但其中也會牽扯到一些問題。開發(fā)人員是流動的，他們不會在公司一直持續(xù)不停的工作，因此在流動過程中，安全能力就無法覆蓋到新的人員，即使安全部門可以對新員工進行一些培訓(xùn)，但培訓(xùn)的效果，新員工的接受程度在他工作中能體現(xiàn)多少，這是一個不可控的變量。
所以，甲方需要一個強有力的抓手，這個抓手要高效，要準確，要能夠在安全部門做完所有的流程和培訓(xùn)之后，也能夠讓安全自主的去發(fā)現(xiàn)這些漏洞。而這就對工具能力提了更高的要求，不是讓工具基于規(guī)則引擎，而是基于一些新的解析器，或者其他新的開發(fā)方式，其最終目的是能夠為開發(fā)安全提質(zhì)、提效，降低安全部門的運營成本，降低安全部門整個的修復(fù)周期，這是目前而言甲方最關(guān)心的一個痛點。

騰訊相關(guān)產(chǎn)品如何？

郭東升：騰訊產(chǎn)品和傳統(tǒng)的代碼審計工具不一樣，其能通過掃描引擎快速的覆蓋整個代碼倉庫，包括增量代碼，這就大大提高了檢出效率。其次，產(chǎn)品對一些常見主流框架的支持度較高，可以覆蓋不同商業(yè)化的產(chǎn)品和第三方的引入制品，對安全短板的覆蓋比較好。第三，產(chǎn)品對常見的漏洞支持比較好，比如top ten的這些漏洞，其基于污點分析技術(shù)，對漏洞檢出率會比較準確。具體例子，比如原來做20萬行代碼掃描需要大概幾個小時，現(xiàn)在能提高到20秒左右。
劉天勇：騰訊開發(fā)的Xcheck產(chǎn)品，在做整個白盒代碼安全審計的時候，采用了全新的技術(shù)路線。過去騰訊作為甲方的時候，也采購過市面上一些知名的SAST產(chǎn)品，結(jié)果發(fā)現(xiàn)這些傳統(tǒng)品牌在流水線場景，在DevOps平臺上的集成效果不太好，因為它的速度過慢，嚴重影響了迭代的效率，同時誤報很高，讓安全團隊沒有辦法真正的踐行DevSecOps。
所以，騰訊自研的這套全新一代技術(shù)原理產(chǎn)品，就是在這樣的背景下誕生的。首先，其具備自研的模糊解析器技術(shù)，可以在完全無需編譯的情況下，直接進行整個代碼的解析，因此在這個邏輯之下，其對于掃描速度的提升是非常明顯的，以及在解析之后，產(chǎn)品的漏洞檢測也不再基于傳統(tǒng)的規(guī)則匹配（規(guī)則越多，掃描的時間會呈線性增長），而是用了一套模擬執(zhí)行的算法，模糊解析器加模擬執(zhí)行算法，兩套方式互相疊加，因此就使得掃描速度有了極大的提高。
此外，接近五年的時間，整個模擬執(zhí)行的算法被每天幾十萬個任務(wù)不停的千錘百煉，如此打磨，可說每一個漏洞都是實錘，將漏洞交到開發(fā)手中，他們看到結(jié)果之后也就省去了再次溝通的時間成本，下個環(huán)節(jié)如何修復(fù)一目了然，同時在流水線的過程中，其能夠?qū)⒄`報控制在一個極致的水平，對開發(fā)的接受度會更高，也更友好，因此也就更有助于落地。

產(chǎn)品在誤報方面有著怎樣的優(yōu)勢？

郭東升：首先技術(shù)路線是在持續(xù)增長的，因此沒有辦法斷定其能夠百分之百的排除誤報，但是基于之前的產(chǎn)品已經(jīng)有了非常大的提升，而且是可運營的。可運營的意思是，在安全部門投入了少量的人力后，可以快速的對這些漏洞做研判，最終形成真實的漏洞報告，然后給到產(chǎn)品研發(fā)側(cè)去“推修”（推動開發(fā)人員修復(fù)漏洞的簡稱）。目前騰訊的產(chǎn)品對甲方用戶而言，只需要兩到三個人就能運行，從投入上看，其效率非?？捎^，整個產(chǎn)出也很讓人滿意。

產(chǎn)品對人員有著怎樣的要求？

張耀疆：軟件開發(fā)安全是技術(shù)活，其對人員的要求具體有哪些？
郭東升：要求會比傳統(tǒng)的測試人員高一些。首先其要求相關(guān)人員不僅能做滲透測試，還要懂整個軟件代碼的安全編碼規(guī)范，要能夠?qū)σ恍┏Ｒ姷穆┒闯梢蛴兴私猓约靶枰邆溟_發(fā)能力、安全能力，同時還要具備一些漏洞的演示講解能力。
張耀疆：如此看來，對用戶端使用人員的要求還是挺高的，這樣會不會造成一種現(xiàn)象？就是產(chǎn)品雖好，但不一定有適合的用戶具備足夠?qū)I(yè)的人員，因此導(dǎo)致產(chǎn)品的普及率不高？
劉天勇：對大部分公司而言，其分為兩種情況，一種是具備專業(yè)的人員，但人員精力有限，因此產(chǎn)品的作用是把專業(yè)人員的人效發(fā)揮出來，比如公司業(yè)務(wù)、代碼量、應(yīng)用的版本數(shù)量都是持續(xù)增長的，難道安全檢測人員也要配套增長嗎？這不現(xiàn)實，所以對于很多公司來講，目的是要把整個檢測的效率提高，把整個誤報控制在更低的水平，然后才能提高人效。
第二種情況，有些企業(yè)的開發(fā)安全并未到達一定的階段，比如處在從零到一的建設(shè)階段，他們往往沒有自己的開發(fā)安全，所以針對這些從零到一的用戶，騰訊產(chǎn)品擁有和自身配套的技術(shù)服務(wù)，相當于工具+服務(wù)，也就是說這些企業(yè)每次做檢測和掃描時，不會像單獨買一次滲透測試或者買一次代碼審計一樣，需要過高的成本，因為騰訊產(chǎn)品本身可以無限次掃描，而配套的服務(wù)能力可以幫助用戶做整體的落地、運營和維護。

就目前而言，產(chǎn)品還有哪些問題亟待解決？

郭東升：首先，一個基礎(chǔ)的認知，沒有百分之百的安全。騰訊工具比起過去的代碼審計產(chǎn)品已經(jīng)有了非常大的進步，如果非要提一些建議的話，可能需要從識別框架自身的安全機制入手。很多現(xiàn)有的框架，其自身具備一些安全能力，比如某場景里，框架做了一些參數(shù)的拼接，這個參數(shù)拼接是一個高危動作，但它過了框架本身的安全審核機制，最終拼接完之后，不一定具備注入或命令執(zhí)行，但是在白盒審計工具的識別過程中，安全人員可能會對這個動作打標簽，但是最終在安全人員研判的時候，會發(fā)現(xiàn)其可能也不一定有風險，或者說有一定的風險，但可能并不會造成漏洞。類似于這樣的情況，需要產(chǎn)品做進一步提升。
劉天勇：郭總提到的這個場景我們稱為防護識別，這是一個問題，比如框架自身的一些特性會帶來一種防護邏輯，而默認的規(guī)則引擎很難去識別這種邏輯，如果勉強識別，很有可能會帶來漏網(wǎng)，相當于識別的不準，所以防護識別確實是整個技術(shù)的一個難點，也是騰訊目前在處理的一件事。
當前針對防護識別，更推薦的方式是通過自定義來解決，因為整個防護的概念和邏輯一定不是無限發(fā)散的，比如公司用的框架就那幾個，這幾個框架的特性做了適配之后，一定是逐漸收斂掉的?；蛘哒f公司整個的防護邏輯就那么幾種，因此只要自定義能力足夠強大，就能夠收斂這個問題。
所以騰訊把整個研發(fā)的重心放在了自定義能力的開放性，以及自定義能力的覆蓋度上，這也是今年騰訊產(chǎn)品一個很大的迭代能力。此次新的自定義能力，可以用低代碼的方式去編寫，意味著成本降低了，另外，在這個自定義的能力之上，對于原生底層引擎的能力開放會變高，所以更復(fù)雜的框架適配，更復(fù)雜的防護邏輯都能夠通過自定義方式來解決。

未來軟件開發(fā)安全會有怎樣的趨勢？

郭東升：我們知道，人員的成長需要時間和精力，就國內(nèi)趨勢而言，高端信息安全人才一直處于緊缺狀態(tài)，而人才不會無限增多，從整個招聘市場可以看到，招聘中高端安全人員的周期會變長，同時企業(yè)配備的人員投入也不會無限增多，因此還是希望乙方能夠把工具的門檻做得更低，準確度做得更高，誤報率更小，給甲方帶來更多的便捷。
甲方安全不僅有開發(fā)安全，還有應(yīng)用層、邏輯層、網(wǎng)絡(luò)流量層，以及數(shù)據(jù)安全，所以甲方要做的工作非常多，會依賴于市場上一些標準化的安全能力和產(chǎn)品，因此希望乙方能夠更好、更快地去迭代一些能力，讓甲方能夠更好地運作起來。
劉天勇：可以從幾個點來展望。第一，從技術(shù)本身而言，性能、效果等，一定會持續(xù)優(yōu)化，同時我們在技術(shù)上還有一個比較新的變量，就是騰訊的大模型技術(shù)。我們會把大模型的這套代碼理解能力放到整個修復(fù)的指導(dǎo)當中，以形成“智能審計助理”的能力，這在后續(xù)會推出。
短期內(nèi)，靠大模型技術(shù)掃漏洞還不現(xiàn)實，但是漏洞掃完之后，它能夠幫助開發(fā)人員提效。比如開發(fā)人員的安全修復(fù)素質(zhì)不那么強，一個智能的AI審計助理能夠通過對話的方式，幫助開發(fā)人員一步一步地提高修復(fù)速度，或用這種方法提供更針對性的修復(fù)建議，這是技術(shù)上的一些暢想。
理念方面，大家會面臨一個共性的問題，就是不同的工具太多了，因此集約化是發(fā)展趨勢。比如像SCA，它是開源組件的一個檢測，它和第三方開源組件的檢測，和自研代碼的檢測就是一個應(yīng)用的兩部分，因此這兩塊兒能合到一起，不同的檢測技術(shù)都是在解決同一個問題，只是技術(shù)路線不一樣，因此完全可以趨向于一體化的集成。
當下，騰訊Xcheck產(chǎn)品已經(jīng)包含了SAST的能力、SCA的能力，以及二進制制品掃描的能力，在整體的使用上，相當于已經(jīng)做到了三合一，未來還會具備更多的合一。接下去的趨勢里，all in one是大家共同的目標，安全工具的提供方，會把更多的工具和平臺進行更緊密的結(jié)合。
面向安全研究者、白帽子等個人用戶，騰訊 XCheck提供免費的saas體驗版本，SAST和二進制SCA的能力可以直接登錄下面的地址體驗：
https://xcheck.tencent.com
https://www.binaryai.net
面向企業(yè)用戶，歡迎直接聯(lián)系我們，會有專門的商務(wù)和技術(shù)支持同事來提供免費的poc 測試。

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）

h漫全彩纯肉无码网站,欧美日韩作爱视频免费,日本在线国产精品,亚洲三级精品在线观看

直播回顧 | 騰訊安全先行者：掌握安全先機，DevSecOps安全免疫提升之道

直播回顧 | 騰訊安全先行者：掌握安全先機，DevSecOps安全免疫提升之道