AI 帮你高效构建代码安全策略【大模型应用实践系列四】

安全漏洞风险会对业务带来严重影响,外部黑客通过对线上业务的渗透攻击,可拖取敏感资产数据、中断在线服务等。国内外不少知名公司都曾因安全问题导致数亿用户信息泄露。所以在越早期发现和修复,能更有效缓解现网威胁,从而保障业务的安全稳定运营。在研发阶段代码编写时实现安全漏洞检测和修复是一种高效且准确的方式。
在这里插入图片描述
腾讯啄木鸟代码安全团队依托腾讯混元大模型的超强代码理解和安全分析能力,在SQL注入威胁检测场景验证中,新增上百个有效的漏洞检测策略,相比传统方法人效比提升3.8倍,在Github高star项目上斩获10+0day漏洞。

1.传统方案依赖人工专家经验,迭代效率慢

1.1 传统检测方案
传统的安全检测方案,主要由检测引擎+策略规则组成。通过对历史badcase的持续跟踪分析,我们发现策略规则的缺失是造成漏水的重要原因。

应对上需要基于编码语言、框架进行策略补齐。主要的方法途径有两种:一种是安全人员根据经验积累,针对一些常见的业务框架进行检测策略添加;一种是通过现网的case反向驱动策略添加(即新增一个漏水的case后,复盘发现属于策略缺失导致的话,就针对性的添加检测策略)。这两种传统方法均需要投入大量的人力,且易陷入被动救火状态而无法主动控盘。
在这里插入图片描述
1.2 业务场景挑战
在大型互联网企业中,研发团队众多,且不同的业务团队根据业务的特性与场景的不同,会选择适合各自团队和业务场景的开发框架。并且在一些场景,还会自研或者针对框架进行二次封装。诸如此类的问题,对策略规则的覆盖率提出了挑战:需要覆盖不同场景的各类研发框架。

2.大模型的代码理解能力可以

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值