2025QECon全球软件质量效能大会:面向未来的DevSecOps:Kodem 如何用AI重塑应用安全_第1页
2025QECon全球软件质量效能大会:面向未来的DevSecOps:Kodem 如何用AI重塑应用安全_第2页
2025QECon全球软件质量效能大会:面向未来的DevSecOps:Kodem 如何用AI重塑应用安全_第3页
2025QECon全球软件质量效能大会:面向未来的DevSecOps:Kodem 如何用AI重塑应用安全_第4页
2025QECon全球软件质量效能大会:面向未来的DevSecOps:Kodem 如何用AI重塑应用安全_第5页
已阅读5页,还剩22页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

刘永强 CONTENTS安全智能”t随着代码规模扩大,漏洞积压激增,但开发人员的修复能效提升缓慢。019—GitHub、Maven020+31%021+25%Log4j等事件推动022+14%PyPI激增023+14%供应链攻击增多024+23%AI组件漏洞增加025AI依赖和容器镜像RCE/代码执行ApacheLog4j、Fastjson等供应链投毒npmevent-stream、PyPIfakepackages信息泄露与配置错误Spring环境变量泄露包版本污染Pythonmodule替换攻击AI代码库滥用漏洞AI模型加载、pickle反序列化等250x500Kx¥6.35M清点资产代码、开源、容器和应用程序接口的零散漏洞列表和清人工汇总-根据通用评分修复补救大量的修复工作与冲刺阶段没有“如何修复”或“这是否是破坏性改动”的指导打破传统的AppSec方法--打破孤岛清点资产代码、开源、容器和应用程序接口的零散漏洞列表和清单人工汇总清点资产代码、开源、容器和应用程序接口的零散漏洞列表和清单人工汇总-根据通用大量的修复工作与冲刺阶段的核心功能竞争。没有“如何修复”或“这是否是破坏性改动”的指导清点资产一份针对代码(SAST)清点资产一份针对代码(SAST)、开放源代码(SCA)、容器和应用程序接口的统一清单和漏洞列表针对代码、直接和传递依赖关系的自助式“最佳修复位置”和“破坏性变更”指导执行从源代码到生产的持续策略,涵盖容执行从源代码到生产的持续策略,涵盖容器、操作系统和内存保护EQ\*jc3\*hps120\o\al(\s\up12(ART),安全左移)队现实的差距和现实挑战23452345从“工具集合”走向“平台化的安全智能”验证跟踪按需定制运行时策略ContainerScannerSecretScanningAPISecurityKodem鉴渊验证跟踪按需定制运行时策略ContainerScannerSecretScanningAPISecurityKodem鉴渊发现修复计划报告合规性治理代码管理策略CI集成策略应用安全代理框架(AgenticFramework)分诊实际风险评估,漏斗攻击者视角上下文可观察与修复引擎(CORE)践行“安全平铺”以AI驱动的上下文化分析,实现对复杂攻击链的精准防御。上下文AIAgents修复助手静态代码扫描助手助手虚拟上下文AIAgents修复助手静态代码扫描助手助手虚拟虚拟漏洞研究小组Fine-TunedLLMs(OpenAI,Claude,Gemini)AI自动分诊问题–整体降噪至4.6%,高威胁降噪至0.03%覆盖所有应用资源运行时--函数级分析确定易受影响的功能执行情况(functionlevel)单•确定问题是否来自基础镜像,并识别基础镜像层次结构•为公共基础图像修复提供修复建议

人人文库> 全部分类> 应用文书 > 研究报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论