在現(xiàn)代軟件開發(fā)中，產(chǎn)品的安全性至關(guān)重要。然而，當(dāng)產(chǎn)品出現(xiàn)安全問題時(shí)，責(zé)任應(yīng)該歸咎于誰(shuí)？是研發(fā)部門的代碼問題，還是安全人員的把關(guān)不嚴(yán)？責(zé)任的劃分常常模糊不清，這不僅困擾著企業(yè)，也影響了產(chǎn)品的質(zhì)量和市場(chǎng)競(jìng)爭(zhēng)力。

在實(shí)際操作中，研發(fā)和安全團(tuán)隊(duì)的協(xié)同工作存在不少困難。兩者的目標(biāo)不同：研發(fā)人員更關(guān)注代碼的功能和實(shí)現(xiàn)效率，而安全團(tuán)隊(duì)則專注于發(fā)現(xiàn)和修復(fù)潛在的安全漏洞。這種目標(biāo)上的差異，導(dǎo)致了溝通上的障礙和責(zé)任劃分的不清晰。特別是在緊張的開發(fā)周期內(nèi)，雙方的溝通效率低下，責(zé)任不明確，使得安全問題更加難以解決。

在安全問題上，合規(guī)要求是企業(yè)必須遵循的底線。然而，合規(guī)要求的不斷提升，使得企業(yè)面臨更大的壓力。安全不僅是安全團(tuán)隊(duì)的責(zé)任，更應(yīng)該是全員的責(zé)任。每一個(gè)開發(fā)人員都需要意識(shí)到安全的重要性并在編碼過程中主動(dòng)防范安全風(fēng)險(xiǎn)。然而，在實(shí)際操作中，這種全員負(fù)責(zé)的理念往往難以真正落實(shí)，導(dǎo)致安全隱患依然存在。

為了提高研發(fā)與安全團(tuán)隊(duì)的協(xié)作效率，一些企業(yè)采用了一套流水線的流程，即devsecops開發(fā)模式。然而，這種模式在實(shí)際操作中存在效能等待的問題。安全檢測(cè)常常需要大量時(shí)間，同時(shí)檢測(cè)結(jié)果準(zhǔn)確性低，而研發(fā)人員則在等待檢測(cè)結(jié)果時(shí)無(wú)所事事，影響了整體開發(fā)效率。安全人員壓力倍增，人手吃緊，難以實(shí)現(xiàn)開發(fā)安全閉環(huán)。

出現(xiàn)這些問題的根本原因在于現(xiàn)有的安全檢測(cè)工具存在誤報(bào)太多和掃描速度太慢的問題。大量的誤報(bào)使得安全人員疲于應(yīng)對(duì)，而過慢的掃描速度則無(wú)法跟上DevOps的敏捷開發(fā)節(jié)奏。此外，面對(duì)越來(lái)越嚴(yán)格的合規(guī)要求，企業(yè)更需要快速、準(zhǔn)確的安全檢測(cè)工具，以確保產(chǎn)品符合相關(guān)法規(guī)。但是從第一性原理出發(fā)，如果能夠解決開發(fā)者的安全能力不足的問題，把安全從測(cè)試卡點(diǎn)左移到編碼階段，那修復(fù)代碼的成本將會(huì)成倍下降。

生成式人工智能引領(lǐng)了新一輪創(chuàng)新浪潮，有望幫助緩解軟件開發(fā)和交付過程中許多繁瑣且耗時(shí)的人工環(huán)節(jié)，從而加速 DevSecOps 工作流程，靜態(tài)檢測(cè)和組件檢測(cè)技術(shù)又能在開發(fā)編碼解決解決安全問題，實(shí)現(xiàn)安全左移，結(jié)合傳統(tǒng)程序分析技術(shù)和人工智能大模型技術(shù)，將會(huì)使現(xiàn)有分析工具的可用性提升巨大。

根據(jù)IBM研究人員的數(shù)據(jù)統(tǒng)計(jì)，在產(chǎn)品發(fā)布后修復(fù)安全問題的成本是在設(shè)計(jì)階段解決成本的4到5倍，而在運(yùn)維階段修復(fù)安全問題的成本則可能達(dá)到甚至超過100倍。軟件工程學(xué)家卡珀斯·瓊斯也指出，80%的軟件缺陷發(fā)生在編碼階段，而在后端測(cè)試修復(fù)缺陷的成本是開發(fā)階段的40倍。因此，從漏洞檢測(cè)時(shí)效、修復(fù)效率和修復(fù)成本三個(gè)角度來(lái)看，「開發(fā)者安全智能助手」都將會(huì)帶來(lái)一次全新的變革。

為了解決這些問題，我們推出了先進(jìn)的、由AI賦能開發(fā)者安全智能助手（D10）產(chǎn)品。通過應(yīng)用最新的人工智能技術(shù)加上我們自有豐富的安全數(shù)據(jù)，訓(xùn)練出了智X大模型，融合自研的源代碼、組件安全和質(zhì)量的檢測(cè)能力。

一般來(lái)說(shuō)，絕大多數(shù)企業(yè)和組織的開發(fā)人員的基數(shù)要遠(yuǎn)遠(yuǎn)大于安全人員，而「開發(fā)者安全智能助手」能更好地把安全能力嵌入到開發(fā)者所熟悉的開發(fā)環(huán)境中，在開發(fā)者編寫代碼的過程中實(shí)時(shí)推薦更安全的編碼建議，讓開發(fā)者享受到更直接的安全能力加持。如果開發(fā)人員在代碼編寫之初便能夠檢測(cè)到代碼安全性，那么整個(gè)企業(yè)IT團(tuán)隊(duì)的安全效能必將得到顯著提升。

AI從哪些方面賦開發(fā)者：

傳統(tǒng)靜態(tài)應(yīng)用程序安全測(cè)試（SAST）工具難以避免的存在較高的誤報(bào)率，開發(fā)者安全智能助手通過大語(yǔ)言模型對(duì)源代碼檢測(cè)平臺(tái)的檢測(cè)結(jié)果進(jìn)行自動(dòng)化的誤報(bào)判斷，有效降低誤報(bào)率。

傳統(tǒng)的SAST產(chǎn)品對(duì)同類缺陷統(tǒng)一使用通用的缺陷描述，沒有切合缺陷實(shí)際情況進(jìn)行分析解釋，使缺陷理解存在一定門檻；開發(fā)者安全智能助手通過大語(yǔ)言模型結(jié)合用戶實(shí)際業(yè)務(wù)代碼，生成針對(duì)性的缺陷成因解釋，使用戶可以更加直觀地理解缺陷產(chǎn)生的原因，幫助用戶更好地理解和解決問題。

傳統(tǒng)的SAST產(chǎn)品提供通用性的缺陷修復(fù)方案和修復(fù)代碼示例，在用戶實(shí)際修復(fù)時(shí)往往遇到修復(fù)方法使用不規(guī)范、修復(fù)示例簡(jiǎn)單籠統(tǒng)與復(fù)雜的實(shí)際情況不符等情況，導(dǎo)致用戶并不確定缺陷是否被真實(shí)修復(fù)；開發(fā)者安全智能助手通過大語(yǔ)言模型結(jié)合缺陷的具體情況和上下文生成可直接應(yīng)用于缺陷修復(fù)的代碼修復(fù)方案，能夠幫助用戶更快速、高效地解決問題。

海云安開發(fā)者安全智能助手是一款非常高效的產(chǎn)品，主要從提高代碼質(zhì)量、提升開發(fā)效率、降低風(fēng)險(xiǎn)隱患、知識(shí)積累沉淀、提升團(tuán)隊(duì)協(xié)作、培養(yǎng)良好習(xí)慣六個(gè)方面幫助開發(fā)人員提升發(fā)現(xiàn)潛在的錯(cuò)誤、缺陷和風(fēng)險(xiǎn)的的能力和安全防護(hù)水平，具備豐富的推廣價(jià)值，具體內(nèi)容如下：

 

總之，安全問題的解決不僅僅是技術(shù)上的挑戰(zhàn)，更是流程和團(tuán)隊(duì)協(xié)作上的問題。通過我們的創(chuàng)新AI產(chǎn)品，我們不僅是為客戶提供了技術(shù)上的支持，更為希望能帶來(lái)流程上的優(yōu)化和效率的提升，讓企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地。