面向未来的DevSecOps：Kodem 如何用AI重塑应用安全-刘永强.pdf

1、面向未来的DevSecOps：Kodem如何用AI重塑应用安全刘永强目录01020304AI 重构 DevSecOps：趋势与角色“安全左移”和团队现实的差距和现实挑战从“工具集合”走向“平台化的安全智能”践行“安全平铺“将 AI 集成到 DevSecOps的最佳实践01趋势与角色AI 重构 DevSecOps传统安全治理原则 安全左移SecurityRequirementDesignDevelopmentTestingQA应 安全差距正在扩随着代码规模扩大，漏洞积压激增。但开发人员的修复能效提升缓慢。供应链漏洞总体趋势年份新CVE(开源组件类)增长率主要来源2019 5 200GitHub、

2、Maven2020 6 800+31%NPM、PyPI2021 8 500+25%Log4j 等事件推动2022 9 700+14%PyPI 激增2023 11 100+14%供应链攻击增多2024 13 600+23%AI 组件漏洞增加2025 15 000+10 12%AI 依赖和容器镜像供应链漏洞总体趋势漏洞类型占比示例RCE/代码执行21%ApacheLog4j、Fastjson 等供应链投毒18%npm event-stream、PyPI fake packages信息泄露与配置错误16%Spring环境变量泄露包版本污染10%Pythonmodule 替换攻击AI 代码库滥用漏洞

3、5%AI 模型加载、pickle 反序列化等漏洞修复时延（Time to Remediate,TTR）2019年平均 TTR:120天 2025年缩短至 80天安全工作让开发人员负担更重250工程师500K平均年薪5%安全投入xx6.35M附加的安全问题成本传统的 AppSec 方法清点资产清点资产代码、开源、容器和应用程代码、开源、容器和应用程序接口的零散漏洞列表和清序接口的零散漏洞列表和清单单分诊分诊人工汇总-根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲刺阶段大量的修复工作与冲刺阶段的核心功能竞争。的核心功能竞争。没有没有“如何修复如何修复

4、”或或“这是否这是否是破坏性改动是破坏性改动”的指导的指导治理治理时间点式报告；时间点式报告；干扰或减缓干扰或减缓SDLC打破传统的 AppSec 方法-打破孤岛，简化工作流程。清点资产清点资产代码、开源、容器和应用程代码、开源、容器和应用程序接口的零散漏洞列表和清序接口的零散漏洞列表和清单单分诊分诊人工汇总-根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲刺阶段大量的修复工作与冲刺阶段的核心功能竞争。的核心功能竞争。没有没有“如何修复如何修复”或或“这是否这是否是破坏性改动是破坏性改动”的指导的指导治理治理时间点式报告；时间点式报告；干扰或减缓干

5、扰或减缓SDLC清点资产清点资产一份针对代码一份针对代码(SAST)、开放开放源代码源代码(SCA)、容器和应用容器和应用程序接口的统一清单和漏洞程序接口的统一清单和漏洞列表列表分诊分诊根据运行时执行情况、可到达性、可利用性和实际攻击面进行自动分流修复补救修复补救针对代码、直接和传递依赖针对代码、直接和传递依赖关系的自助式关系的自助式“最佳修复位最佳修复位置置”和和“破坏性变更破坏性变更”指导指导治理治理执行从源代码到生产的持续执行从源代码到生产的持续策略，涵盖容器、操作系统策略，涵盖容器、操作系统和内存保护和内存保护02“安全左移”和团队现实的差距和现实挑战打破关于应 安全的 些误区任 何

6、开 源 库 集 成 都 会引 超 过 7 0 个额 外 的 依 赖 项。简 单 性 误 区应安全仅靠静态扫描覆盖源码是不够的。应运时的依赖与配置层风险往往无监控。健 全 性 误 区脱离上下盲信任准确性是种谬误。超过90%的警报属于误报，纯粹是在制造噪。准 确 性 误 区安全具从不会“受到开发员的喜爱“。程员欣赏的是准确性、深的研究与专业的精神。协 作 性 误 区“安全左移“-现实挑战理想理想VSVS现实现实1 1安全工具无缝集成在 CI/CD 管道中2开发具备一定安全意识、自主修复漏洞3安全检测实时反馈、开发快速修复5各部门协同 DevSecOps 文化已形成4安全与开发目标统一（质量+安全）