论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
IT评测·应用市场-qidao123.com技术社区
»
论坛
›
安全
›
主机安全
›
更好的安全实践,解决Copilot + CodeQL 的各类安全左移 ...
更好的安全实践,解决Copilot + CodeQL 的各类安全左移局限性问题 ...
王國慶
论坛元老
|
2024-12-15 17:41:46
|
显示全部楼层
|
阅读模式
楼主
主题
1861
|
帖子
1861
|
积分
5587
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
随着
开发
团队将安全检查提前到软件
开发
生命周期(SDLC)的早期阶段(安全左移),
开发
者们已经成为抵御漏洞的第一道防线。在2023年GitHub的一项调查中,32%的
开发
者时间用于编写代码,31%的时间用于发现和修复安全漏洞。
然而,遗憾的是,这种“左移”策略更多是将安全实践的责任推给了
开发
者,而非真正带来利益。
安全左移现状
很多
开发
者在进行安全审查时,常常被迫利用不敷定制的工具,这些工具无法根据业务场景做出有效分析,导致误报和漏报频繁出现,极大地影响了他们发现息争决安全漏洞的效率。同时,大部分
开发
者的首要任务依然是编写和审查代码。但在“安全左移”政策下,他们还被要求在一样平常
开发
中加入漏洞审查、修复和明白安全问题,这无疑给他们的工作负担增长了压力,甚至影响了
开发
效率。
开发
安全的趋势与挑战
根据Gartner的预测,到2028年,75%的企业软件工程师将依赖AI编码助手进行工作。这意味着,随着
开发
者利用GitHub Copilot等AI工具进步生产力,生成的代码量也将大幅增长,随之而来的是需要审查的代码量急剧上升。安全专家面对的压力也与日俱增。通常,在每100名
开发
者中,只有一名安全专家负责确保代码的安全性,并订定、执行相关的安全政策,这项工作压力非常大。根据ISC2(国际信息系统安全认证联盟)2023年的调查,全球对安全专家的需求已经增长了400万个职位。而通过AI场景应用创新也能够为安全团队提供强有力的支持,帮助他们扩展专业知识和能力,缓解部分压力。
为了应对这些挑战,GitHub推出了联合Copilot和CodeQL的AI功能,通过生成修复建议来帮助
开发
者更高效地修复漏洞。然而,只管GitHub Copilot + Codeql的组合在
开发
安全实践上取的了不错结果,但其在实际应用场景中还存在各类局限性问题。
Copilot + CodeQL的优势与局限
GitHub Copilot通过与CodeQL等SAST工具的联合,为
开发
者提供了主动修复漏洞的能力,尤其是在代码提交或Pull Request中,
开发
者能够直接得到AI生成的修复建议,极大地进步了安全检测的效率。
然而,CodeQL的利用协议中明确禁止其在企业的CI/CD流水线中部署,这意味着在企业级的
开发
情况中,Copilot + CodeQL的组归并不能真正嵌入到企业的
开发
流程中,导致了其在生产情况中的应用受到限定。而且,Copilot和CodeQL依赖于预设规则,这使得它们在处理企业内部业务场景时缺乏定制化能力,容易出现误报和漏报的情况。
Secidea
海云安认为落实安全左移不是给
开发
者增长负担
应该是帮助
开发
者减负
海云安联合了多年
开发
安全经验与深度的AI能力,打造了一套针对企业与
开发
者需求的安全左移解决方案:“
开发
者智能助手(D10)”。它不但仅是一个工具,也是
开发
者agent,通过AI的上下文明白、即写即测和主动修复,帮助
开发
者减轻负担,进步
开发
效率,实现编码到漏洞检测到修复的闭环。
D10的优势:
专为企业级需求打造的AI驱动SAST工具
D10不但解决了Copilot + CodeQL的局限,还提供了更强的安全合规性与稳固性,特别实用于需要高度定制化和安全合规的企业情况。
完全兼容企业CI/CD流程
与CodeQL的限定不同,D10可以完全嵌入企业的CI/CD流水线,不但支持多语言情况,还可以实时扫描代码,主动发现并修复安全漏洞。这种无缝集成提升了企业
开发
团队的效率,减少了因漏洞修复而停止
开发
进度的情况。
更好的上下文明白
D10通过**RAG(检索加强生成)**技术,能够根据企业内部的业务需求和代码库,定制化检测规则。它不但支持尺度漏洞检测,还能够联合业务逻辑进行深度的代码分析,提供精准的修复方案,克制传统SAST工具中的误报和漏报问题。
符合国内安全合规要求
在国内的安全合规情况下,Copilot和CodeQL的利用存在数据隐私和政策风险,因为它们需要依赖于云端处理,可能会泄漏关键的业务代码信息。与此不同,D10的部署模式完全符合国内的安全政策要求,确保数据不会泄漏,而且支持本地化部署,克制因政策变动导致的产物不可用。
AI驱动的漏洞一键修复
D10不但能够发现安全漏洞,还能够主动生成个性化的修复方案,并提供一键插入、更换和修复功能。这种基于上下文的主动修复能力,使得
开发
者能够更加高效地处理安全问题,减少人为操作失误,提升安全性和合规性。
局限性对比
功能对比
Copilot + CodeQL
D10
CI/CD支持
CodeQL禁止在企业CI/CD中部署
完全支持企业CI/CD流水线部署
安全合规性
存在数据泄漏和政策合规风险
完全符合国内安全合规要求
定制化能力
缺乏针对特定业务场景的定制化支持
提供企业级的定制化修复方案
误报漏报
存在较高的误报漏报率
基于上下文智能分析,极大降低误报漏报
AI修复能力
基于通用模子,修复建议较为简朴
提供上下文明白和个性化修复建议
为什么D10更适合企业情况?
安全和隐私保障
Copilot和CodeQL通过云端处理,可能会涉及到代码泄漏的风险。D10采用本地私有部署,完全符合国内数据安全和合规要求,确保
开发
者的业务代码始终处于受保护的情况中。
符合企业需求的定制化能力
D10深度学习行业内外的业务场景,能够主动生成适配企业特定业务逻辑的检测规则和修复建议,克制了Copilot + CodeQL对业务场景的明白不足带来的误报漏报。
无缝集成,提升
开发
效率
D10完善契合企业的CI/CD流水线,主动化集成漏洞检测与修复,
开发
者无需离开工作情况,即可得到实时的安全反馈,减少了安全审查的负担。
全面提升
开发
与安全双重效能
D10将安全检测与修复过程无缝嵌入到软件
开发
生命周期中,不但提升了代码安全性,还显著进步了
开发
效率。
开发
者可以专注于业务功能的实现,而不必担心复杂的安全漏洞修复工作。
总结:D10真正解决了安全左移局限性问题
固然GitHub Copilot + CodeQL在肯定程度上帮助
开发
者进步了编码效率和漏洞修复能力,但在企业级安全合规和定制化需求方面仍有较大局限。而D10依附其全面的AI驱动功能、安全合规保障以及深度的业务场景定制能力,成为了更适合企业
开发
团队的抱负选择。对于那些在合规性、安全性和
开发
效率上有较高要求的企业,D10无疑是一个更加强大、稳固且符合国内法规的解决方案。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复
使用道具
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
王國慶
论坛元老
这个人很懒什么都没写!
楼主热帖
webman
不想打开 IDE 的摆烂一天
Jupyter Notebook,太强大了
React技巧之发出http请求
【网络】https单向认证和双向认证 ...
【Shashlik.EventBus】.NET 事件总线, ...
APP内存管理
Bluecmsv1.6-代码审计
java如何显示"html转义字符"对应的原始 ...
Apache DolphinScheduler 3.0.0 正式版 ...
标签云
AI
运维
CIO
存储
服务器
浏览过的版块
物联网
容器及微服务
Oracle
备份
公有云
Mysql
分布式数据库
快速回复
返回顶部
返回列表