安全漏洞风险会对业务带来严重影响,外部黑客通过对线上业务的渗透攻击,可拖取敏感资产数据、中断在线服务等。国内外不少知名公司都曾因安全问题导致数亿用户信息泄露。所以在越早期发现和修复,能更有效缓解现网威胁,从而保障业务的安全稳定运营。在研发阶段代码编写时实现安全漏洞检测和修复是一种高效且准确的方式。
腾讯啄木鸟代码安全团队依托腾讯混元大模型的超强代码理解和安全分析能力,在SQL注入威胁检测场景验证中,新增上百个有效的漏洞检测策略,相比传统方法人效比提升3.8倍,在Github高star项目上斩获10+0day漏洞。
1.传统方案依赖人工专家经验,迭代效率慢
1.1 传统检测方案
传统的安全检测方案,主要由检测引擎+策略规则组成。通过对历史badcase的持续跟踪分析,我们发现策略规则的缺失是造成漏水的重要原因。
应对上需要基于编码语言、框架进行策略补齐。主要的方法途径有两种:一种是安全人员根据经验积累,针对一些常见的业务框架进行检测策略添加;一种是通过现网的case反向驱动策略添加(即新增一个漏水的case后,复盘发现属于策略缺失导致的话,就针对性的添加检测策略)。这两种传统方法均需要投入大量的人力,且易陷入被动救火状态而无法主动控盘。
1.2 业务场景挑战
在大型互联网企业中,研发团队众多,且不同的业务团队根据业务的特性与场景的不同,会选择适合各自团队和业务场景的开发框架。并且在一些场景,还会自研或者针对框架进行二次封装。诸如此类的问题,对策略规则的覆盖率提出了挑战:需要覆盖不同场景的各类研发框架。
最低0.47元/天 解锁文章
扫一扫
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
