当前位置:首页 > 报告详情

A2--刘永强--QEcon-面向未来的DevSecOps:Kodem 如何用AI重塑应用安全.pdf

上传人: B**** 编号:963809 2025-11-02 27页 8.03MB

1、刘永强Kodem 技术总监刘永强Kodem企业能效工程建设领域深耕十余年,资深DevSecOps专家顾问。架构师峰会,QCon、QECon、DevOpsSubmit、DevOpsDay等大会讲师。Gradle技术认证专家、JFrog制品库认证技术专家,华为MVP。目录CONTENTSAI 重构 DevSecOps:趋势与角色0102“安全左移”和团队现实的差距和现实挑战从“工具集合”走向“平台化的安全智能”03践行“安全平铺”将 AI 集成到DevSecOps 的最佳实践04PART 01AI 重构 DevSecOps:趋势与角色传统安全治理原则 安全左移SecurityRequirement

2、DesignDevelopmentTestingQA应安全差距正在扩随着代码规模扩大,漏洞积压激增,但开发人员的修复能效提升缓慢。供应链漏洞总体趋势年份年份新新CVE(开源组件类开源组件类)增长率增长率主要来源主要来源2019 5 200GitHub、Maven2020 6 800+31%NPM、PyPI2021 8 500+25%Log4j 等事件推动2022 9 700+14%PyPI 激增2023 11 100+14%供应链攻击增多2024 13 600+23%AI 组件漏洞增加2025 15 000+10 12%AI 依赖和容器镜像供应链漏洞总体趋势漏洞类型漏洞类型占比占比示例示例RC

3、E/代码执行代码执行21%Apache Log4j、Fastjson 等供应链投毒供应链投毒18%npm event-stream、PyPI fake packages信息泄露与配置错误信息泄露与配置错误16%Spring 环境变量泄露包版本污染包版本污染10%Python module 替换攻击AI代码库滥用漏洞代码库滥用漏洞 5%AI 模型加载、pickle 反序列化等漏洞修复时延(Time to Remediate,TTR)2019 年平均 TTR:120 天 2025 年缩短至 80 天安全工作让开发人员负担更重250工程师500K平均年薪5%安全投入xx6.35M附加的安全问题成本传

4、统的 AppSec 方法清点资产清点资产代码、开源、容器和应用程代码、开源、容器和应用程序接口的零散漏洞列表和清序接口的零散漏洞列表和清单单分诊分诊人工汇总-根据通用评分(如 CVSS)确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲刺阶段大量的修复工作与冲刺阶段的核心功能竞争。的核心功能竞争。没有没有“如何修复如何修复”或或“这是否这是否是破坏性改动是破坏性改动”的指导的指导治理治理时间点式报告;时间点式报告;干扰或减缓干扰或减缓SDLC打破传统的 AppSec 方法-打破孤岛,简化工作流程清点资产清点资产代码、开源、容器和代码、开源、容器和应用程序接口的零散应用程序接口的

5、零散漏洞列表和清单漏洞列表和清单分分诊诊人工汇总-根据通用评分(如 CVSS)确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲大量的修复工作与冲刺阶段的核心功能竞刺阶段的核心功能竞争争。没有。没有“如何修复如何修复”或或“这是否是破坏性这是否是破坏性改动改动”的指导的指导治理治理时间点式报告;时间点式报告;干扰或减缓干扰或减缓SDLC清点资产清点资产一份针对代码一份针对代码(SAST)、开放源代码开放源代码(SCA)、容器和应用程序接口容器和应用程序接口的统一清单和漏洞列表的统一清单和漏洞列表分诊分诊根据运行时执行情况、可到达性、可利用性和实际攻击面进行自动分流修复补救修复补

6、救针对代码、直接和传针对代码、直接和传递依赖关系的自助式递依赖关系的自助式“最佳修复位置最佳修复位置”和和“破坏性变更破坏性变更”指导指导治理治理执行从源代码到生产执行从源代码到生产的持续策略,涵盖容的持续策略,涵盖容器、操作系统和内存器、操作系统和内存保护保护PART 02“安全左移”和团队现实的差距和现实挑战打破关于应安全的些误区任 何 开 源 库 集 成都 会 引 超 过 7 0 个额 外 的 依 赖项。简 单 性 误 区应安全仅靠静态扫描覆盖源码是不够的。应运时的依赖与配置层险往往监控。健 全 性 误 区脱离上下盲信任准确性是种谬误。超过90%的

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了AI在DevSecOps中的应用,以提高企业能效工程建设领域的安全性。核心数据包括:供应链漏洞逐年增长,平均漏洞修复时延长达120天,安全工作加重开发人员负担。以下是关键点: 1. AI重构DevSecOps:介绍了将AI集成到DevSecOps中的趋势与角色,以及传统安全治理原则的不足。 2. 安全左移与团队现实差距:分析了安全左移在实际操作中面临的误区和挑战,如工具集成复杂、安全培训不足等。 3. 从工具集合到平台化安全智能:提出了全栈分析、上下文可观察与修复引擎等解决方案,以打破信息孤岛。 4. AI集成最佳实践:介绍了Kodem AI Agents在安全治理中的应用,如分诊助手、修复助手等,实现精准防御和降低噪音。 文章强调了AI在提高安全性能、自动修复漏洞和优化检测精度方面的作用,以及将安全能力嵌入CI/CD全流程的重要性。
"AI如何革新DevSecOps?" "安全左移面临哪些挑战?" "怎样实现智能安全修复?"
客服
商务合作
小程序
服务号
折叠