近日,第四届“鼎信杯”大赛榜单正式发布,本次大赛由中国软件评测中心(工业和信息化部软件与集成电路促进中心)主办。在供应链安全治理赛道中,海云安凭借其“开发者智能助手D10助力安全左移项目”荣获金鼎实践奖。这一奖项充分彰显了海云安在数字安全与合规领域的卓越软件技术水平,以及在AI+创新应用方面的强大综合实力。
“鼎信杯”大赛是面向我国软件与信息技术产业的重要行业赛事,聚焦新技术、新业态、新模式,围绕参赛单位的软件技术先进性、创新应用能力、系统集成水平、应用实践成效及产业贡献能力等多个维度进行严格评审。本届大赛历经初审、现场复核及总决赛专家评审等多个环节,最终遴选出具有行业示范意义的优秀产品与实践案例,具有较高的权威性与行业影响力。
开发者智能助手D10:引领安全左移,提升软件开发效能
近年来,随着用户业务需求的不断增长和网络安全法律法规的陆续出台,开发者面临着诸多新挑战。开发人员编写的代码不仅要满足业务需求,还要确保安全合规、满足监管的要求。此外,传统代码安全工具存在误报率高、问题定位不准、缺陷成因描述不清晰等问题,都在影响着开发安全工作的顺利进行和研发效能的整体提升。
开发者智能助手(简称D10)是海云安公司依托积累多年的程序分析技术以及丰富的开发安全实践经验,融合人工智能AI、静态代码分析(SAST)和软件成分分析(SCA)等技术研发的一套系统性解决方案,旨在实现安全高效左移,全面提升开发者的安全编码能力。D10通过“智乘”AI大模型【智能程序分析xAI】对原生大模型的微调、训练和优化,得以实现更好的效果,助力用户在开发安全领域中以较低成本高效运用AI大模型。通过将SAST、SCA及应用安全合规检测等安全能力前置开发者环境,在软件开发早期阶段融入安全和合规措施,助力企业开发团队全面提升安全防护能力,降低安全合规成本,实现降本增效。
开发者智能助手D10能够在安全、合规、质量、效能等方面为开发团队进行赋能和工作效率的提升,能够帮助企业更好的进行安全左移,并且在安全漏洞修复方面有非常好的表现。
1.快速准确的安全合规检测
D10内置集成了海云安开源组件与源代码检测引擎,其特性表现为高效的检测速度与极低的误报率。同时通过插件方式创新的将安全合规检测能力内置于开发环境之中,从而助力开发者在代码编写阶段进行实时的安全合规扫描,实现即写即测的高效工作模式。此外,D10还融入了智乘大模型的AI能力,进一步降低了误报率,让研发人员将更多精力聚焦于真正关键的安全漏洞处理。
2.基于代码上下文的缺陷具体成因描述
传统的源代码检测工具产品对同类缺陷的描述使用统一的缺陷描述,缺乏切合当前缺陷情况的深入分析和解释,使缺陷理解存在一定门槛。而D10则利用了更为先进的数据流分析、符号执行等技术,并结合大语言模型的能力,对当前实际代码进行智能化的全局分析,对每一个具体漏洞进行深度挖掘和追溯,生成详尽的漏洞解释、调用细节以及潜在的利用方法和途径,从而降低缺陷理解门槛,帮助用户更加深入地理解漏洞的本质和修复方法。
3.更好的漏洞修复体验
在企业实际的生产与开发过程中,研发人员的安全意识和技能水平存在较大的差异,开发者独立修复安全漏洞存在较大困难。传统的源代码检测工具通常只提供通用性的缺陷修复方案和示例代码,这些方案和代码往往过于简单和笼统,难以满足复杂多变的实际情况。相比传统的源代码检测工具产品,D10在海云安智乘AI大模型的强大支持下,在安全漏洞修复方面展现出了非常好的效果。通过精心部署的私有化AI大语言模型,结合缺陷的详细信息和代码上下文,D10能够提供针对重点高危漏洞类型如硬编码、SQL注入、命令注入等的符合实际情况的修复建议并生成相应的修复代码。帮助研发人员降低漏洞修复难度,更有效地在编码过程中使用安全工具收敛漏洞风险。
4.实现高效安全左移
基于多年来在开发安全领域的深入实践经验和SAST(静态应用程序安全测试)、SCA(软件成分分析)技术的积累,以及海云安智乘AI大模型的强大能力支撑。海云安开发者智能助手,有效解决了使用传统安全工具落地“安全左移”的诸多挑战,如:检测滞后、误报频繁、问题定位不精确、缺陷成因表述模糊以及漏洞修复对安全能力的高要求等。帮助企业能够真正实现将安全左移至研发阶段,进而降低漏洞修复成本,全面提升研发效能。
以某银行客户为例,海云安开发者智能助手在该银行应用的业务系统数达到3000+,开发者用户数达到7000+,日均交互次数10万+,通过融合SAST、SCA与AI大语言模型,漏洞检测准确率提升90%,千行代码漏洞率下降50%,开发者编码效率提升35%,漏洞修复成本降低40%,整体研发效能提升10%。
热门跟贴