写点什么

大模型赋能智能编码安全|「智效融合,安全护航」西安站技术沙龙成功举办

作者:百度安全
  • 2024-12-06
    北京
  • 本文字数:4123 字

    阅读完需:约 14 分钟

11 月 30 日,「智效融合,安全护航」西安站·暨第八期“度安讲”技术沙龙成功举办,沙龙聚焦企业智能化工程效能探索及其安全能力建设实践等热点议题,来自百度、四叶草安全、智点科技、员明科技、开源中国,以及西安高新区数字产业企业家商会和西安高新区人工智能应用交流中心、西安青年企业家协会、西安市数据产业协会的各界生态伙伴共聚一堂,共话人工智能时代下的企业工程效能创新提升与平稳健康发展之路。

第八期“度安讲”技术沙龙


致辞

百度副总裁陈洋在致辞中表示,大模型正在重塑研发效率和安全,一方面通过多个智能体流水线协同,大幅提升工程效率与企业创造力;另一方面,安全作为一个长期以来的话题,在追求效率的同时,如何通过新技术的应用,从根源上解决传统模式中看似矛盾的问题,实现效率、质量、安全的三者兼得,也是当下企业关注的话题。今天我们讲“智效融合,安全护航”,旨在通过与会者的深度观点交流碰撞,为人工智能时代下的企业工程效能创新提升与平稳健康发展,提供一套切实可行的思路与方案,携手各界生态合作伙伴,探索人工智能与企业提效的融合之路。


百度副总裁陈洋


潘多拉魔盒中的数字风险

四叶草安全创始人兼董事长马坤在主题分享中深入剖析当前中国式现代化所面临的网络安全挑战与机遇,聚焦数字经济、数字生活、军事强国、人才培养等四个方面,探讨如何共筑安全防线。


马坤表示,随着云、大数据、物联网、人工智能、区块链、5G 等新技术的蓬勃发展,数字经济已成为推动生产力发展的重要力量,操作系统、算法、协议等基础设施的安全,直接关系到整个数字经济的稳定与发展。在数字生活方面,随着智慧城市、智慧医疗、智慧交通、智慧金融等领域的普及,网络安全问题已经渗透到社会生活的方方面面,关乎企业信息安全、个人信息与隐私,甚至生命安全。在军事强国方面,网络战已成为一种全新的战争形态,自主可控是保障网络安全、信息安全的前提,而拥有强大的网络安全能力和技术,对于维护国家安全和战略利益具有重要意义。


演讲中,马坤援引多个实际案例来阐述当下复杂形势下网络安全的重要性和紧迫性,为了推动数字经济的健康发展,呼吁企业须深化安全内控体系,完善安全监测体系,强化安全运营体系,健全安全督查制度,同时需加强对高素质网络安全人才的培养。


四叶草安全创始人兼董事长马坤


安全又高效:大模型赋能安全左移

近来,大模型技术不断推动着应用创新,特别是在代码安全智能体方面,得以高效赋能安全左移。百度研发安全负责人陈长林深入浅出地分析了传统研发安全面临的困境,并提出了基于大模型的创新解决方案。他指出,传统研发安全存在三大痛点:管控流程滞后导致安全隐患已在线上,漏洞修复需要大量人工介入导致业务成本高,以及安全运营需要持续人力投入导致运营成本高。


为解决这些问题,百度在文心快码中推出了安全智能体,能够实现漏洞发现即修复,通过检测、修复、验证三个关键环节完成整个漏洞修复闭环。该智能体包含三大核心能力:首先是全面的漏洞检测能力,覆盖 SQL 注入、命令注入等通用漏洞,Log4j2、Fastjson 等供应链漏洞,以及 AK/SK、密码、Token 等机密信息扫描;其次是基于文心大模型的自动修复能力,结合了百度多年的攻防经验和海量代码数据,构建了专属的漏洞修复模型,实现了超过 75%的修复成功率;最后是完整的验证机制,通过语法检查和漏洞复测,确保修复结果的准确性和安全性。


在实践落地方面,百度采用了"全流程左移"的策略,将安全能力前置到开发各个环节。从 IDE 开发环节开始,通过智能提醒和一键修复功能,帮助开发者在编码阶段就发现并解决问题;在代码仓库环节,通过安全检测和自动通知机制,确保代码提交的安全性;在流水线构建环节,设立安全门禁,防止存在漏洞的代码流转到下游;在制品库环节,通过安全门禁确保最终交付物的安全性。这种全方位的安全左移策略取得了显著成效。在近 4 个月内该方案已阻断了 1500 多次存在漏洞的流水线,实现了 84%的漏洞修复率,以及 62%的自动修复采纳率。更重要的是,这种方案改变了传统依赖管理流程的被动防御模式,转向了技术驱动的主动防御模式,实现了安全、质量、效率的统一。


百度研发安全负责人陈长林


Gitee DevSecOps:智能化软件工厂实践与探索

随着企业数字化转型持续深入,企业软件体系逐步庞大,软件研发的资产治理与资产安全已成为关键议题。然而,很多企业过分关注部分研发流程管理,却忽视了对研发资产的系统化管理,导致资产散落、核心资产意外丢失、资产内容缺乏约束等问题。开源中国研发总监李彦成表示,软件的黑盒化问题会随着时间推移而加剧,如果没有一套透明的机制进行串联,企业将面临资产追溯困难、研发周期延长、软件关联性差等多重挑战。为应对这些问题,Gitee 提出了完整的研发资产治理体系,围绕文档资产、代码资产和制品资产三大核心领域展开全方位管理。


资产串联的重要性在于通过以版本为核心的资产管理与集成交付体系,实现了从需求到文档,到代码,再到制品的完整追溯。这种方式不仅解决了资产碎片化的问题,还为后续的维护和迭代提供了可靠保障。在某银行的实践案例中,该方案帮助客户实现了研发全流程打通、需求线上细化与跟踪、双模式管理(稳态与敏态)等多多重目标。更重要的是,这种资产管理方式为企业的安全治理提供了基础。以 DevSecOps 全流程安全管控平台的建设,将安全能力融入到研发全过程,包括情景式需求分析和威胁建模、开源威胁治理、持续威胁模拟等多个维度。这种方式不仅解决了传统工具串联的局限性,更支持企业敏捷开发体系的建设。尤其是在当前复杂的地缘形势下,李彦成认为,加强研发资产的自主可控和安全管理显得尤为重要。通过建立完善的资产管理体系,企业不仅能是升研发效能,更能为国产化替代和供应链安全提供有力支撑。


开源中国研发总监李彦成


百度智能化代码开发实践:编码现场与 AI 同侪

百度资深工程师李杨介绍了百度内部在提升研发效能方面的创新工具与实践经验。李杨表示,百度通过云 IDE、文心快码等工具,有效提升了研发效率,并已在多个行业实现商业化落地。


李杨首先介绍了云 IDE 的研发背景与核心价值。他指出,大型企业面临的开发环境复杂、平台切换频繁等问题,严重制约了研发效率。云 IDE 通过集成 DevOps 能力,将需求、文档、代码评审、代码扫描等一系列环节整合至统一平台,实现了研发流程的一站式管理。此外,云 IDE 还利用容器化技术快速构建开发环境,特别适用于 AI 开发等需要复杂环境配置的场景,极大地缩短了环境搭建和问题解决的时间。在云 IDE 的基础上,百度进一步将 DevOps 能力左移,将安全扫描、云端编译等原本在流水线上进行的工作前置到编程现场,确保了代码的安全性和规范性。同时,云 IDE 还具备强大的数据度量能力,能够收集并分析开发者在 IDE 中的操作数据,为优化研发流程提供数据支持。


在智能编码领域,李杨重点介绍了百度文心快码这一大模型赋能的研发提效工具。文心快码自推出以来,已在百度内部实现了广泛应用,目前在百度内部采纳率已达到 46%,代码生成占比高达 30%,显著提升了代码编写效率。李杨表示,文心快码不仅能够在完成代码续写、优化等任务,还能在需求阶段帮助工程师进行任务拆解、需求澄清和架构理解,在编码阶段针对工程师代码自动发现和修复漏洞,在测试阶段自动化生成单元测试,确保研发质量和安全,从而实现了从需求到发布的全流程赋能。通过开放平台的方式,文心快码还支持自定义插件的开发,进一步拓展了其应用场景和灵活性。


最后李杨强调,未来文心快码将继续探索人机协同新模式,推出更多智能体以赋能到软件开发流程的更多环节。同时与更多生态合作伙伴开放合作,将大模型的能力推广给到更多开发者,共同推动研发效能的全面提升。


百度资深工程师李杨


百度办公安全实践分享

百度企业 IT 平台部经理王超在演讲中分享了百度企业网络安全的实践和经验,详细阐述了企业在建设网络系统过程中如何解决安全问题。结合行业和百度自身的办公安全建设,王超指出做企业安全有两点很重要,一是要具备黑客思维,逆向思考,提升安全防护能力;二是要把握好企业安全和员工体验之间的平衡,做好安全、提效、提升工作体验。


将企业网络安全形象化地比作家庭防盗,提出了三层架构理念,即物理安全、身份认证和监控预警,类比于 TCP/IP 五层模型,强调每一层都需要加强防护。以百度的办公安全为例,逐层做了详细介绍。在物理层,关键是如何迅速识别并应对外部 WiFi 威胁,保护企业网络安全。在链路层,讨论了如何通过系统优化来解决安全问题,而不是仅依赖报警。在网络层,王超介绍了百度自研的 VPN 方案,通过云化方式提升用户体验并降低成本。在传输层,重点分享了如何基于身份型策略,使策略变得可运维,大大降低了成本。在应用层,则强调了持续检测和流量控制的重要性;另外,通过安装端即解决了安全问题,同时也为员工提供非常多实用有趣的工具和能力,大大提升了工作体验和效率。


百度企业 IT 平台部经理王超


圆桌:智效融合,安全护航

在圆桌讨论环节,嘉宾们围绕人工智能在企业安全与效能提升方面的应用,以及供应链安全展开了深入讨论。


百度副总裁陈洋表示,当前大模型技术相比早期 AI 有了质的飞跃,不仅能解决特定问题,更能应对长尾需求,推动各行各业进入 AI 原生时代。四叶草安全创始人马坤从实践角度指出,虽然 AI 能在研发提效方面发挥重要作用,但从生成式 AI 到应用式 AI 还有一段距离,企业需要务实地看待 AI 的应用价值;智点科技董事长房一里则强调,从效率提升的角度来评估 AI 的价值,关键是要让决策者理解 AI 能带来的实际收益。具体来看,软件研发中编码仅占 20-30%,还有大量工作集中在需求沟通、测试等环节。开源中国研发总监李彦成认为,AI 不仅能提升编码效率,更应该着眼于整个研发流程的优化。百度研发安全负责人陈长林则从安全角度分享了大模型在代码漏洞自动修复等领域的突破性进展,展示了 AI 在细分领域的实际价值。


此外,在供应链安全方面,员明科技有限公司董事长王员则从行业角度分享了在地下基础设施探测等领域的国产化替代经验。与会专家一致认为,面对当前形势,企业既要理性看待 AI 带来的机遇与挑战,又要未雨绸缪,在供应链安全、自主创新等方面做好充分准备。这既是挑战,更是推动中国科技产业升级的重要机遇,产学研用各界要加强协作,共同构建安全可控的技术生态体系。


圆桌讨论:《智效融合,安全护航》


用户头像

百度安全

关注

有AI更安全 2018-11-08 加入

百度安全官方技术账号

评论

发布
暂无评论
大模型赋能智能编码安全|「智效融合,安全护航」西安站技术沙龙成功举办_百度安全_InfoQ写作社区