隨著研發模式的不斷發展，基于DevSecOps理念的開發安全體系建設變得越來越重要，層出不窮的軟件供應鏈安全事件也在不斷的提醒我們開發安全的重要性。同時，隨著人工智能大模型技術的快速發展，開發安全技術也面臨著全新的機會和挑戰。

近日，騰訊安全組織的“DevSecOps行業實踐經驗分享會”在上海舉辦。

安全領域資深專家新加坡南洋理工大學劉楊教授、vivo應用安全負責人袁俊虎、騰訊開發安全產品規劃負責人劉天勇，與來自長三角地區的30多位企業應用安全負責人齊聚一堂，共同探討了企業踐行“安全左移”理念，落地DevSecOps過程中的困難、挑戰和應對經驗。同時，嘉賓們也圍繞人工智能大模型技術崛起給企業從事應用開發安全建設帶來的機遇和挑戰。

AI大模型已經運用在了漏洞檢測和修復中

長期深入研究AI和安全融合的劉楊博士，是新加坡南洋理工大學（NTU）計算機科學與工程學院教授，同時也是NTU網絡安全實驗室主任、HP-NTU實驗室主任以及新加坡國家卓越衛星中心的副主任、Scantist聯合創始人。

他專攻軟件工程、網絡安全和人工智能領域，其研究填補了軟件分析中多項理論和實際應用之間的空白，研發了多款高效的軟件質量和安全檢測平臺并成功商業化。

劉楊博士的分享主題，涉及了人工智能技術如何與 DevSecOps 流程和工具進行合作和集成，以提高安全開發和運維的效率。

早在2019年，人工智能領域就提出了一種創新的安全思路——將機器學習引入到漏洞檢測領域，以期提高效率和準確性，在此階段，相關研究實際上是把代碼的當成文本來去處理。

劉楊博士及其研究團隊認為，將代碼視為純文本可能會導致與其本來的語義產生差異。他們的基本思路是將代碼中的結構化信息，如抽象語法樹（AST）和其他復雜數據結構，轉化成神經網絡，然后利用這些信息來學習代碼的語義。實驗結果表明，在使用代碼的結構化信息進行訓練時，漏洞檢測的效果更好。

但在實際應用過程中，由于可用于訓練機器學習模型的漏洞數據量有限，劉楊博士帶領科研團隊不斷探索更加具有可落地的解決方案，在大量的實踐及創新之后，AI 賦能安全建設的落地場景逐漸顯現。劉楊博士強調，Secure Dev（安全開發）、Security Analysis（安全分析）以及Secure Ops（安全運維）等場景都可以受益于使用 AI 大模型來提升安全性。未來，或許 AI 將在更多的場景中助力安全體系的建設，通過對話和交互的方式來獲取代碼的安全建議，從而減少對專業安全人員的依賴。

騰訊把自身DevSecOps實踐深深融入產品中

“騰訊是開發安全產品的提供商，同時我們也是國內首批DevSecOps的實踐者。這讓我們同時具備甲乙方雙重視角，更容易站在客戶立場來做產品。”

簡單的開場白后，騰訊開發安全產品規劃負責人劉天勇跟在場嘉賓介紹起了騰訊作為一家非常重視應用開發安全的大公司，是如何向DevSecOps一步一步的演進的。

騰訊的應用開發安全建設歷程，可以追溯到2006年，最初的工作是圍繞漏洞響應、漏洞檢測和漏洞修復展開。到了2012年，隨著公司業務的不斷發展，騰訊開發安全團隊結合微軟SDL和SAMM優點，提出了自己的企業級軟件安全開發生命周期模型——TSDL。這一階段騰訊采用了自研黑盒+外購商業化白盒的工具組合來構建檢測流程，同時建立了騰訊應急響應中心（TSRC）補全了外部漏洞防御短板，相關的流程規范也在逐漸的落地。

2017年到2019年，公司的開發模式開始向DevOps轉型，騰訊開始以DevSecOps理念建設開發安全。這一階段，原有商業化采購的白盒產品由于速度慢、誤報高、資源占有高，無法很好適應流水線場景。為DevSecOps場景而生的新一代開發安全產品Xcheck應運而生，Xcheck采用獨家自研的技術路線，有效的解決了傳統白盒在流水線場景的使用問題，在騰訊內部實現了對原有商業化產品的替換，并在 2021 年開始面向市場商業化。

21年底，log4j事件的爆發，讓軟件供應鏈安全的重要性深入人心，騰訊Xcheck也將內部強大的源碼+二進制SCA能力集成到產品中，形成了集SAST+SCA+制品掃描一體化的開發安全檢測平臺。

如今，騰訊已完成了DevOps研發模式的轉型，以Xcheck為代表的開發安全工具和內部研效平臺深度集成，經受住了海量檢測任務的考驗。DevSecOps理念已在騰訊落地實踐并形成了公司文化。

vivo 的 DevSecOps 建設關鍵步驟和工具

最后，騰訊Xcheck的代表客戶vivo也進行了專題分享。vivo互聯網應用安全負責人袁俊虎分享了 vivo 在互聯網 DevSecOps 建設過程中的關鍵步驟和工具。

在流水線（代碼）安全掃描流程中，提供源代碼層面的安全風險發現與排查能力，以確保在開發階段及時發現存在安全隱患的安全漏洞與不規范編碼問題。同時，將SAST、SCA等DevSecOps安全工具鏈默認集成于CICD流水線，持續提供掃描和反饋項目代碼增量風險的能力。

在安全測試流程方面，主要依賴 IAST 工具來覆蓋常規版本的安全測試，通過將 IAST 與 CICD 流水線集成，在部署測試環境時默認開啟 IAST Agent，于功能測試環節完成安全風險檢測，之后形成漏洞工單完成處置閉環。

在袁俊虎看來，安全工具鏈是DevSecOps建設的基礎，將這些工具嵌入研發體系，確保它們與平臺集成，漸進的融合和持續的改進，從而實現安全流程的融合。最后安全文化是DevSecOps建設的核心，只有安全工具和安全流程具備一定的成熟度，才能更好的推動安全文化的落地，實現“人人為安全負責“，從而實現理想狀態的 DevSecOps。

了解更多，歡迎瀏覽：

https://xcheck.tencent.com/index