一款可大幅降低安全合规成本的开发者安全助手

新闻 业界
30天前

海云安之----开发者安全助手


近年来,随着业务和技术的快速发展,DevOps敏捷开发框架等新技术的出现,国家网络安全法律法规的陆续出台,开发者面临着诸多新挑战。全社会对数据安全和个人信息保护的重视程度日益提高,国内也已发布一系列政策法规,加大了数据安全和隐私合规领域的监管及执法力度。在严格监管的大环境下,安全合规已成为开发人员的“必修课”。开发者既要快速交付以满足业务发展需求,又要确保代码的安全性和合规性,满足监管要求。


海云安针对当前开发者面临的困境,推出了一款开发者安全助手,旨在帮助开发者和企业实现安全、合规、质量、效能四个方面全面提升。

一、标签


 大语言模型     安全智能助手      效能助手      全左移    代码安全 


二、用户痛点

 

1、传统代码安全工具误报率高,检测时间长


传统的代码安全工具在实际应用中存在诸多问题,如误报率高、检测时间长。这导致开发人员在使用代码安全工具时,无法切实解决实际问题,产品发版时间因此拖延。


2、开发人员缺乏相关安全知识,不懂得如何去修复漏洞


面对当前热门的敏捷开发模式,开发人员在编写项目代码的时候往往不能兼顾安全问题。即便使用了代码安全工具将漏洞扫描出来了,开发人员也因为缺乏相关的漏洞修复知识,不懂得如何修复漏洞。


3、研发效率低


开发人员在编写项目代码时,可能会遇到bug、代码报错等问题。解决这些问题,常常需要浏览诸多网站来获取相关信息,导致研发效率过低。


三、解决方案

开发者安全智能助手是海云安智乘AI大模型为基座,形成的一套工具,旨在帮助企业和开发团队实现安全高效左移,全面提升开发者安全能力和研发效能。智乘AI大模型基于海云安公司过往在开发安全领域丰富的落地实践经验,将SASTSCA技术与人工智能大语言模型进行深度融合,对大模型进行微调、训练和优化而形成。


开发者安全智能助手的用户端可嵌入开发人员日常使用的IDE平台页面中,通过SAST和SCA技术对开发者自研代码及引用的第三方组件进行安全检测,检测结果可直接定位到代码中的具体位置,实现即写即测即修即验证;还可以根据实际代码上下文生成AI缺陷解释及可直接应用的AI修复方案,帮助用户快速理解和修复代码缺陷。通过引用全面的代码库、IDE配置信息等上下文知识,深入理解软件工程上下文,提供优秀的代码生成能力,帮助企业提升研发效能。


开发者安全智能助手的管理端使用浏览器访问,能够对用户和检测代码项目进行管理,并对检测结果进行统计分析,帮助企业摸清内部代码总体缺陷情况及修复情况,将开发安全平台转换为业务数字化、流程规范化的可持续运营管理平台。


在安全保障方面,可帮助开发者实时对源代码和组件进行安全检测分析,及时发现其中的安全漏洞,实现所见即所得的代码安全检测和AI自动修复体验。基于自动选择污点追踪方向(正向/反向)、并行污点追踪算法优化等算法,全面提高代码检测和漏洞验证的速度,并运用AI来降低误报率。在满足合规方面,覆盖了30+主流编程语言的代码和组件的安全合规检测,通过将安全合规检测能力内置到开发环境中,帮助开发者在代码层面进行安全合规的检测。


在效能提升方面,在智乘AI大模型的基础上,通过语法、语义和编译中间代码等多种策略提升模型对代码工程理解的准确度,为开发者提供精准的代码补全;通过对代码工程的文件检索,为开发者提供函数注释、代码调优和代码解释等功能,帮助开发者解决研发中的疑难杂症,助力企业提升研发效能。


1729578856220.jpg

产品架构图

四、典型应用场景



1

敏捷开发流程,追求检测效率和准确率,使用便捷,同时降本增效



2

安全左移,开发自治,对安全和合规有较高要求


开发者安全智能助手可以为各地行业机构提供研发过程中的安全、合规、质量、效能的全面提升,帮助企业实现安全合规、降本增效的目标,产生的经济效益明显:


一方面,通过提高开发效率,并利用AI降低开发者解决安全问题的时间成本,从而为企业节省大量的人力和时间成本;另一方面,通过降低由于安全与合规问题引发的风险,可以为企业避免潜在的经济损失。


2.jpg


五、典型应用案例及应用价值



1

某大型互联网银行客户应用案例


海云安开发者安全智能助手在该银行应用的业务系统数达到3000+,开发者用户数达到7000+,日均交互次数10万+,通过融合SAST、SCA与AI大语言模型,漏洞检测准确率提升了90%,千行代码漏洞率下降了50%,开发者编码效率提升了35%,整体研发效能提升了10%。



2

某以线上业务为主的银行客户应用案例


该银行面临着复杂的安全挑战。为了提升软件开发过程中的安全性,该银行引入了海云天的开发者安全助手。该工具通过AI技术、全面的代码和安全合规知识库,嵌入开发者的日常工作环境中,实时提供安全编码建议。借助这一工具,该银行在开发阶段就能识别并解决安全问题,大幅降低了漏洞修复成本,提升了整体IT团队的安全效能,同时确保了业务的持续稳定和合规性。

3

某券商客户应用案例


近年来,该券商随着开发模式向DevOps切换,研发体系的安全能力运作思路也从SDL向DevSecOps方向转型,在开源组件检测的接入和自动化运营方面出现安全问题。为此,该券商引入开发者安全助手,补齐了检测能力,使得应用系统从开发到上线各个环节具备开源组件安全的自动化检测能力,真正实现了安全左移。该工具的自动化开源组件检测能力、安全卡点的接入,配合团队赋能和持续运营,该券商形成了稳定的开发安全活动规范和文化,为应用系统上线提供有效的安全保障。


五、用户反馈


 

”当前市场上虽有陆续推出一些结合AI大语言模型技术的智能助手产品,但主要聚焦在代码解释、代码自动补齐等研发效能方面的辅助,而海云安将安全、合规、质量、效能融为一体的开发者安全助手在业界尚属首创。“


——某银行安全负责人


“在与海云安开展合作前,我们做了PoC测试。当时有4家公司参与,其中海云安的开发者安全助手的代码检测误报率、漏洞修复正确率和代码补全正确率是远胜于其他公司的,所以我们选用了他们的产品。”

——某银行部门负责人


“海云安开发者安全助手应用的过程中,给我们公司带来了非常不错的效益。后续我们将跟海云安寻求更多的合作。”


——某证券商网络安全专家