喜讯 | 海云安“开发者安全助手系统”项目荣获香蜜湖金融科技创新奖【优秀项目奖】

新闻业界

2月前

2024年9月6日，福田区金融服务和风险防控中心发布了第四届香蜜湖金融科技创新奖获奖名单，海云安“开发者安全助手系统”项目荣获优秀项目奖。

微信图片_20240918185038.jpg

本届香蜜湖奖申报数量创历史新高，较往年增长超60%。评选工作组对158个申报项目进行资料审查、初审和终审，最终共评选出13个项目奖、4个特色项目奖、3家新锐企业奖、5个数字化转型先锋奖共25个获奖项目。评审专家表示，与往届相比，本届香蜜湖奖申报项目在质量上有了显著提升，不仅整体差距有所缩小，部分项目水准更是达到全国领先水平。

Secidea

背景介绍

近年来，随着业务需求的不断增长以及DevOps敏捷开发框架的兴起，软件开发与部署过程更为迅速，迭代更为频繁。与此同时，全社会对数据安全和个人信息保护的重视程度日益提高，国内也已发布一系列政策法规，加大数据安全和隐私合规领域的监管及执法力度。在严格监管的大环境下，安全合规已成为开发人员的“必修课”。开发者既要快速交付以满足业务发展需求，又要确保代码的安全性和合规性，满足监管要求。

在此背景下，安全不再是一个孤立的审查环节，而是需与开发工具和流程紧密结合，实现安全向开发侧的“左移”，将安全性贯穿整个软件开发生命周期。然而，传统代码安全工具在实际应用中存在诸多问题，如误报率高、问题定位不准确、缺陷成因描述不清晰等，这些问题阻碍了安全向开发侧“左移”，影响了开发安全工作的顺利进行和研发效能的整体提升。

人工智能（AI）技术的发展为网络安全领域带来了新的变革，尤其是大语言模型技术。如何将大语言模型技术与各领域相结合，已成为国内外科技企业关注和探讨的焦点。在开发安全领域，静态代码检测技术也因大语言模型的出现，而有了产生变革的可能。一些致力于提升研发效能的开发者智能助手产品正在陆续推出，为开发者的效能提升提供了全新的解决方案。然而，目前国内开发安全领域对大语言模型的应用仍然较少，将安全、合规、质量、效能融为一体的开发者安全助手产品市场还处于空白阶段。

Secidea

开发者安全助手系统

项目介绍

开发者智能助手D10（简称D10）是海云安公司依托积累多年的程序分析技术以及丰富的开发安全实践经验，融合人工智能AI、静态代码分析（SAST）和软件成分分析（SCA）等技术研发的一套系统性解决方案，旨在实现安全高效左移，全面提升开发者的安全编码能力。D10通过“智x”AI大模型【智能程序分析xAI】对原生大模型的微调、训练和优化，得以实现更好的效果，助力用户在开发安全领域中以较低成本高效运用AI大模型。通过将SAST、SCA及应用安全合规检测等安全能力前置开发者环境，在软件开发早期阶段融入安全和合规措施，助力企业开发团队全面提升安全防护能力，降低安全合规成本，实现降本增效。

D10用户端嵌入开发人员日常集成开发环境（IDE）中，通过SAST和SCA技术对开发者自研代码及引用第三方组件进行安全检测。检测结果可以精确到代码具体位置，实现即测即修。结合人工智能AI技术，D10能够对检测出的代码缺陷进行误报判断，并根据代码上下文生成AI缺陷解释以及可直接应用的AI修复方案，助力用户快速理解和修复代码缺陷，从而有效提升代码质量。

D10的管理端可通过浏览器访问，支持用户和检测代码项目的管理，并对检测结果进行统计分析。这有助于企业摸清内部代码的总体缺陷和修复情况，将开发安全转化为业务数字化、流程规范化的可持续运营管理平台。

Secidea

核心能力

基础模型能力

基于丰富的专业知识库和优秀的领域大模型进行训练、微调、优化，形成强大的海云安智乘AI大模型基座。智乘AI大模型在进行安全漏洞/质量问题检测以及安全漏洞/质量问题修复等方面，具有显著优势。

安全原子能力

融入了海云安自主研发SAST和SCA检测引擎，具备强大的代码、组件安全检测原子能力。SAST引擎基于自动选择污点追踪方向（正向/反向）、并行污点追踪算法优化和类似污染源/爆发点结果合并传递等优化算法，全面提升检测修复速度并运用AI大模型极大降低误报率。SCA引擎覆盖30+主流编程语言，提供组件的安全、合规以及质量分析能力。

自动修复能力

结合海云安优秀的开发安全实践知识库，通过对比漏洞上下文方式生成修复代码。同时融合SAST和RAG，为智乘AI大模型提供精准修复漏洞的能力。

代码生成能力

采用语法、语义和编译中间代码等多种策略提升模型对代码工程理解的准确度，同时提供精准优先、平衡模式、速度优先等模型来适配多种场景。通过引用全面的代码库、IDE配置信息等上下文知识，深入理解软件工程上下文，为模型提供优秀的代码生成能力。