大咖云集騰訊DevSecOps實踐研討會，共話落地實踐經(jīng)驗

隨著研發(fā)模式的不斷發(fā)展，基于DevSecOps理念的開發(fā)安全體系建設變得越來越重要，層出不窮的軟件供應鏈安全事件也在不斷的提醒我們開發(fā)安全的重要性。同時，隨著人工智能大模型技術的快速發(fā)展，開發(fā)安全技術也面臨著全新的機會和挑戰(zhàn)。

近日，騰訊安全組織的“DevSecOps行業(yè)實踐經(jīng)驗分享會”在上海舉辦。

安全領域資深專家新加坡南洋理工大學劉楊教授、vivo應用安全負責人袁俊虎、騰訊開發(fā)安全產(chǎn)品規(guī)劃負責人劉天勇，與來自長三角地區(qū)的30多位企業(yè)應用安全負責人齊聚一堂，共同探討了企業(yè)踐行“安全左移”理念，落地DevSecOps過程中的困難、挑戰(zhàn)和應對經(jīng)驗。同時，嘉賓們也圍繞人工智能大模型技術崛起給企業(yè)從事應用開發(fā)安全建設帶來的機遇和挑戰(zhàn)。

AI大模型已經(jīng)運用在了漏洞檢測和修復中

長期深入研究AI和安全融合的劉楊博士，是新加坡南洋理工大學（NTU）計算機科學與工程學院教授，同時也是NTU網(wǎng)絡安全實驗室主任、HP-NTU實驗室主任以及新加坡國家卓越衛(wèi)星中心的副主任、Scantist聯(lián)合創(chuàng)始人。

他專攻軟件工程、網(wǎng)絡安全和人工智能領域，其研究填補了軟件分析中多項理論和實際應用之間的空白，研發(fā)了多款高效的軟件質(zhì)量和安全檢測平臺并成功商業(yè)化。

劉楊博士的分享主題，涉及了人工智能技術如何與DevSecOps流程和工具進行合作和集成，以提高安全開發(fā)和運維的效率。

早在2019年，人工智能領域就提出了一種創(chuàng)新的安全思路——將機器學習引入到漏洞檢測領域，以期提高效率和準確性，在此階段，相關研究實際上是把代碼的當成文本來去處理。

劉楊博士及其研究團隊認為，將代碼視為純文本可能會導致與其本來的語義產(chǎn)生差異。他們的基本思路是將代碼中的結(jié)構化信息，如抽象語法樹（AST）和其他復雜數(shù)據(jù)結(jié)構，轉(zhuǎn)化成神經(jīng)網(wǎng)絡，然后利用這些信息來學習代碼的語義。實驗結(jié)果表明，在使用代碼的結(jié)構化信息進行訓練時，漏洞檢測的效果更好。

但在實際應用過程中，由于可用于訓練機器學習模型的漏洞數(shù)據(jù)量有限，劉楊博士帶領科研團隊不斷探索更加具有可落地的解決方案，在大量的實踐及創(chuàng)新之后，AI賦能安全建設的落地場景逐漸顯現(xiàn)。劉楊博士強調(diào)，Secure Dev（安全開發(fā)）、Security Analysis（安全分析）以及Secure Ops（安全運維）等場景都可以受益于使用AI大模型來提升安全性。未來，或許AI將在更多的場景中助力安全體系的建設，通過對話和交互的方式來獲取代碼的安全建議，從而減少對專業(yè)安全人員的依賴。

騰訊把自身DevSecOps實踐深深融入產(chǎn)品中

“騰訊是開發(fā)安全產(chǎn)品的提供商，同時我們也是國內(nèi)首批DevSecOps的實踐者。這讓我們同時具備甲乙方雙重視角，更容易站在客戶立場來做產(chǎn)品?！?/span>

簡單的開場白后，騰訊開發(fā)安全產(chǎn)品規(guī)劃負責人劉天勇跟在場嘉賓介紹起了騰訊作為一家非常重視應用開發(fā)安全的大公司，是如何向DevSecOps一步一步的演進的。

騰訊的應用開發(fā)安全建設歷程，可以追溯到2006年，最初的工作是圍繞漏洞響應、漏洞檢測和漏洞修復展開。到了2012年，隨著公司業(yè)務的不斷發(fā)展，騰訊開發(fā)安全團隊結(jié)合微軟SDL和SAMM優(yōu)點，提出了自己的企業(yè)級軟件安全開發(fā)生命周期模型——TSDL。這一階段騰訊采用了自研黑盒+外購商業(yè)化白盒的工具組合來構建檢測流程，同時建立了騰訊應急響應中心（TSRC）補全了外部漏洞防御短板，相關的流程規(guī)范也在逐漸的落地。

2017年到2019年，公司的開發(fā)模式開始向DevOps轉(zhuǎn)型，騰訊開始以DevSecOps理念建設開發(fā)安全。這一階段，原有商業(yè)化采購的白盒產(chǎn)品由于速度慢、誤報高、資源占有高，無法很好適應流水線場景。為DevSecOps場景而生的新一代開發(fā)安全產(chǎn)品Xcheck應運而生，Xcheck采用獨家自研的技術路線，有效的解決了傳統(tǒng)白盒在流水線場景的使用問題，在騰訊內(nèi)部實現(xiàn)了對原有商業(yè)化產(chǎn)品的替換，并在2021年開始面向市場商業(yè)化。

21年底，log4j事件的爆發(fā)，讓軟件供應鏈安全的重要性深入人心，騰訊Xcheck也將內(nèi)部強大的源碼+二進制SCA能力集成到產(chǎn)品中，形成了集SAST+SCA+制品掃描一體化的開發(fā)安全檢測平臺。

如今，騰訊已完成了DevOps研發(fā)模式的轉(zhuǎn)型，以Xcheck為代表的開發(fā)安全工具和內(nèi)部研效平臺深度集成，經(jīng)受住了海量檢測任務的考驗。DevSecOps理念已在騰訊落地實踐并形成了公司文化。

vivo的DevSecOps建設關鍵步驟和工具

最后，騰訊Xcheck的代表客戶vivo也進行了專題分享。vivo互聯(lián)網(wǎng)應用安全負責人袁俊虎分享了vivo在互聯(lián)網(wǎng)DevSecOps建設過程中的關鍵步驟和工具。

在流水線（代碼）安全掃描流程中，提供源代碼層面的安全風險發(fā)現(xiàn)與排查能力，以確保在開發(fā)階段及時發(fā)現(xiàn)存在安全隱患的安全漏洞與不規(guī)范編碼問題。同時，將SAST、SCA等DevSecOps安全工具鏈默認集成于CICD流水線，持續(xù)提供掃描和反饋項目代碼增量風險的能力。

在安全測試流程方面，主要依賴IAST工具來覆蓋常規(guī)版本的安全測試，通過將IAST與CICD流水線集成，在部署測試環(huán)境時默認開啟IAST Agent，于功能測試環(huán)節(jié)完成安全風險檢測，之后形成漏洞工單完成處置閉環(huán)。

在袁俊虎看來，安全工具鏈是DevSecOps建設的基礎，將這些工具嵌入研發(fā)體系，確保它們與平臺集成，漸進的融合和持續(xù)的改進，從而實現(xiàn)安全流程的融合。最后安全文化是DevSecOps建設的核心，只有安全工具和安全流程具備一定的成熟度，才能更好的推動安全文化的落地，實現(xiàn)“人人為安全負責“，從而實現(xiàn)理想狀態(tài)的DevSecOps。

了解更多，歡迎瀏覽：https://xcheck.tencent.com/index