產品安全問題誰來負責？

在現代軟件開發中，產品的安全性至關重要。然而，當產品出現安全問題時，責任應該歸咎于誰？是研發部門的代碼問題，還是安全人員的把關不嚴？責任的劃分常常模糊不清，這不僅困擾著企業，也影響了產品的質量和市場競爭力。

研發與安全的協同難題

在實際操作中，研發和安全團隊的協同工作存在不少困難。兩者的目標不同：研發人員更關注代碼的功能和實現效率，而安全團隊則專注于發現和修復潛在的安全漏洞。這種目標上的差異，導致了溝通上的障礙和責任劃分的不清晰。特別是在緊張的開發周期內，雙方的溝通效率低下，責任不明確，使得安全問題更加難以解決。

安全責任應落實到人人

在安全問題上，合規要求是企業必須遵循的底線。然而，合規要求的不斷提升，使得企業面臨更大的壓力。安全不僅是安全團隊的責任，更應該是全員的責任。每一個開發人員都需要意識到安全的重要性并在編碼過程中主動防范安全風險。然而，在實際操作中，這種全員負責的理念往往難以真正落實，導致安全隱患依然存在。

Devsecops 能使研發與安全的高效協作，但落地依然存在問題

為了提高研發與安全團隊的協作效率，一些企業采用了一套流水線的流程，即devsecops開發模式。然而，這種模式在實際操作中存在效能等待的問題。安全檢測常常需要大量時間，同時檢測結果準確性低，而研發人員則在等待檢測結果時無所事事，影響了整體開發效率。安全人員壓力倍增，人手吃緊，難以實現開發安全閉環。

問題的根源：開發人員沒有開發安全的能力，而傳統工具誤報和檢測速度太慢

出現這些問題的根本原因在于現有的安全檢測工具存在誤報太多和掃描速度太慢的問題。大量的誤報使得安全人員疲于應對，而過慢的掃描速度則無法跟上DevOps的敏捷開發節奏。此外，面對越來越嚴格的合規要求，企業更需要快速、準確的安全檢測工具，以確保產品符合相關法規。但是從第一性原理出發，如果能夠解決開發者的安全能力不足的問題，把安全從測試卡點左移到編碼階段，那修復代碼的成本將會成倍下降。

AI能否為開發人員解決開發安全難題呢？可以

生成式人工智能引領了新一輪創新浪潮，有望幫助緩解軟件開發和交付過程中許多繁瑣且耗時的人工環節，從而加速 DevSecOps 工作流程，靜態檢測和組件檢測技術又能在開發編碼解決解決安全問題，實現安全左移，結合傳統程序分析技術和人工智能大模型技術，將會使現有分析工具的可用性提升巨大。

根據IBM研究人員的數據統計，在產品發布后修復安全問題的成本是在設計階段解決成本的4到5倍，而在運維階段修復安全問題的成本則可能達到甚至超過100倍。軟件工程學家卡珀斯·瓊斯也指出，80%的軟件缺陷發生在編碼階段，而在后端測試修復缺陷的成本是開發階段的40倍。因此，從漏洞檢測時效、修復效率和修復成本三個角度來看，「開發者安全智能助手」都將會帶來一次全新的變革。

海云安的解決方案：基于AI賦能的開發者安全智能助手（D10）產品

為了解決這些問題，我們推出了先進的、由AI賦能開發者安全智能助手（D10）產品。通過應用最新的人工智能技術加上我們自有豐富的安全數據，訓練出了智X大模型，融合自研的源代碼、組件安全和質量的檢測能力。

一般來說，絕大多數企業和組織的開發人員的基數要遠遠大于安全人員，而「開發者安全智能助手」能更好地把安全能力嵌入到開發者所熟悉的開發環境中，在開發者編寫代碼的過程中實時推薦更安全的編碼建議，讓開發者享受到更直接的安全能力加持。如果開發人員在代碼編寫之初便能夠檢測到代碼安全性，那么整個企業IT團隊的安全效能必將得到顯著提升。

AI從哪些方面賦開發者：

（一）AI學習自動化誤報判斷，有效降低誤報

傳統靜態應用程序安全測試（SAST）工具難以避免的存在較高的誤報率，開發者安全智能助手通過大語言模型對源代碼檢測平臺的檢測結果進行自動化的誤報判斷，有效降低誤報率。

（二）自動生成缺陷成因解釋，降低理解門檻

傳統的SAST產品對同類缺陷統一使用通用的缺陷描述，沒有切合缺陷實際情況進行分析解釋，使缺陷理解存在一定門檻；開發者安全智能助手通過大語言模型結合用戶實際業務代碼，生成針對性的缺陷成因解釋，使用戶可以更加直觀地理解缺陷產生的原因，幫助用戶更好地理解和解決問題。

（三）自動生成缺陷修復代碼，高效修復問題

傳統的SAST產品提供通用性的缺陷修復方案和修復代碼示例，在用戶實際修復時往往遇到修復方法使用不規范、修復示例簡單籠統與復雜的實際情況不符等情況，導致用戶并不確定缺陷是否被真實修復；開發者安全智能助手通過大語言模型結合缺陷的具體情況和上下文生成可直接應用于缺陷修復的代碼修復方案，能夠幫助用戶更快速、高效地解決問題。

客戶的收益：專注開發，提高效能

海云安開發者安全智能助手是一款非常高效的產品，主要從提高代碼質量、提升開發效率、降低風險隱患、知識積累沉淀、提升團隊協作、培養良好習慣六個方面幫助開發人員提升發現潛在的錯誤、缺陷和風險的的能力和安全防護水平，具備豐富的推廣價值，具體內容如下：

?提高代碼質量：開發者安全智能助手幫助及時發現代碼問題，減少 bug 和缺陷，提高軟件穩定性和可靠性，降低維護成本，提升產品質量。

?提升開發效率：開發者安全智能助手提供實時反饋和建議，避免重復錯誤，提高編程效率，減少代碼審查和重構時間。

?降低風險：開發者安全智能助手能發現潛在安全隱患，幫助遵循最佳實踐，降低金融、政府、大型企業等重要領域的軟件安全風險。

?知識積累與傳承：推廣使用開發者安全智能助手，積累代碼審查經驗，形成項目編碼規范，新成員可通過學習快速提升技能，實現知識傳承。

?提升團隊協作：開發者安全智能助手的知識庫作為內部交流素材，促進團隊溝通合作，通過分享案例和實踐，團隊成員相互學習、共同進步，提高整體實力。

?培養安全編碼習慣：展示安全編碼規范，引導開發人員養成良好編程習慣，推動軟件行業可持續發展。

總之，安全問題的解決不僅僅是技術上的挑戰，更是流程和團隊協作上的問題。通過我們的創新AI產品，我們不僅是為客戶提供了技術上的支持，更為希望能帶來流程上的優化和效率的提升，讓企業在激烈的市場競爭中立于不敗之地。