AI修复漏洞,代码安全新革命
寻径 UtopianCode——首个开放式程序分析平台
截止目前,我们打造了国内首个开放式程序分析平台,以自研编程语言 MirrorQL和求解器为基础,具备强大的分析能力。并上线了独有的查询控制台功能,解决传统SAST验证规则的整个链路冗长且操作繁琐又极其耗时等问题。如今,我们再次推出一项新功能——AI修复代码漏洞:为客户提供智能、高效的漏洞修复建议。
AI修复上线,助力快速解决安全隐患
为工程师解读漏洞问题并提供示例修复代码,只需一键,就能轻松理解漏洞风险。
寻径UtopianCode概述
国内首个开放式程序分析产品
基于寻臻科技在代码安全对抗领域的多年经验积累,集合多种前沿的程序分析技术,能够精准识别应用代码中的潜在安全漏洞、软件质量缺陷以及不规范编码等问题,从源头守护应用安全,保障应用代码安全合规。我们旨在为企业和开发者提供全面、精确的代码安全检测服务。通过对应用程序进行静态分析,寻径UtopianCode能够在不动态执行代码的情况下识别出潜在的安全漏洞。
SAST的困境
在现代软件世界中,SAST(静态应用安全测试)工具是研发安全中自动化挖掘安全漏洞的重要手段之一,因其自动化以及便捷性,在各个行业中被广泛使用。不同于动态安全测试,SAST工具可以在不实际执行程序的情况下进行安全分析,极大地方便了测试流程。
在不执行程序的前提下,以静态分析的方式发现程序中潜在的安全漏洞是一件极具技术挑战的事情。经过解决大量行业实践,目前SAST工具在企业内部落地时,通常会遇到几类难以解决的问题,且极大程度上影响了SAST在企业研发安全建设中的实际效果,我们总结为以下4类:
1. 描结果的准确率
- 受限于底层原理,误报率与检出率之间难以做到兼顾,通常情况下只能针对业务场景的需求进行取舍。
2. 分析过程的耗时
- 静态分析需要对程序执行状态的可能性进行尽可能充分的识别,这意味着庞大的计算量
3. 定制化适配难度
- 对SAST进行定制化扩展难度高、成本大、时间长,通常需要具有专家级的较高技术水平以及持续投入
4. 漏洞修复成本
- 人工修复漏洞,对每个漏洞都需要重新判断以及编码修复
运营SAST的最后一公里:漏洞修复
面临SAST的四大问题,前三类问题主要由SAST产品的研发人员(乙方)考虑并解决,对于(甲方)业务系统的研发人员而言,他们只能使用最终成品。但是第四个问题——漏洞的修复,则主要由(甲方)业务系统的研发人员来解决。
SAST工具对项目程序分析结束后,首先,由安全工程师对扫描结果中的安全漏洞进行确认。随后,将已确认的漏洞转交至研发工程师。最后,由研发工程师进行修复。那么,使用SAST产品时,解决“如何修复漏洞”的问题,便成了运营 SAST 产品的最后一公里。
由于漏洞确认与修复这两个环节都需要人工方式处理,随着漏洞数量逐渐增多,必然会导致整体修复时长增加。在研发安全体系的长期建设过程中,人工修复漏洞的速度最终会成为整体运营效率的关键瓶颈所在。
研发工程师修复漏洞的过程中,需要完成在业务与安全两个层面的学习。首先,在业务层面,需要理解当前业务场景的需求,对代码的业务用途有基本了解。其次,在安全层面,对目标漏洞类型的原理进行学习,并学习如何正确地修复它。在这个过程中需要持续的学习和测试,这必将耗费不短时间。一旦修复代码的防御思路存在缺陷,导致修复不完整,漏洞又将再次出现。
AI助力漏洞自动修复:LLM大语言模型
随着LLM(大语言模型)技术的兴起,LLM被广泛用于各种业务场景之下,在代码生成领域,以Github Copilot为代表的AI编程工具受到了极大的关注。在安全领域,LLM技术的出现,同样为许多问题提供了新的解决思路。
寻臻科技对LLM技术进行持续深入研究,将技术探索的成果融入进寻径UtopianCode产品中,通过融合程序分析、漏洞识别、LLM编排、RAG等技术,实现了针对业务安全漏洞的自动修复代码生成。
寻径UtopianCode可以结合程序实际上下文,提供精确有效的漏洞修复代码,帮助研发人员快速理解问题,大幅度提升漏洞修复速度,加快开发进度。
结语
寻径UtopianCode是落地开发安全左移的重要一环,将安全手段的接入前置到研发阶段,提前发现安全问题,降低安全运营成本。随着技术的不断进步,寻臻科技将持续探索AI技术与软件供应链安全的结合,打破原有技术能力的边界,为用户带来创新性的能力体验。
申请体验通道
发表评论
您还未登录,请先登录。
登录