当前位置：首页 > news >正文

度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

news 2025/7/6 9:50:29

在这里插入图片描述
当下，“安全左移”作为落地DevSecOps的重要实践之一，已在业界达成共识。DevSecOps作为一种集开发、安全、运维于一体的软件开发和运营模式，强调在敏捷交付下，“安全”在软件开发生命周期的全覆盖贯穿和核心位置。所谓“安全左移”，与软件开发生命周期密切相关，即在软件开发生命周期的早期，也就是在计划、编码阶段安全措施的介入，旨在从上游源头把控“安全”这一软件交付的底线与基石，降低后期的修复成本与风险。

近年来，各类供应链攻击事件呈现爆发增长的态势，由此衍生的蝴蝶效应再次凸显了“安全左移”在DevSecOps模式中的重要性。不仅如此，考虑到网络安全体系的庞杂，黑产技术对抗逐年升级，对企业的纵深防御能力和安全合规提出更高的要求，不止于软件开发，“安全左移”正在落地应用于数据安全、大模型安全、智能网联车安全等各类场景。在此背景下，百度安全第二期「度安讲」安全技术沙龙日前在北京举办，来自百度、奇安信、小米、京东、墨菲安全、北京航空航天大学等企业机构的多位安全专家汇聚一堂，聚焦安全左移和业务安全保障相关主题进行深入探讨，共同探索并丰富安全左移的理论和实践。

在这里插入图片描述度安讲 | 第二期「安全左移·业务护航」技术沙龙

BSRC&Comate展台

百度安全副总经理顾孔希发表致辞，并结合基础安全业务的发展沿革，分享了对“安全左移”的看法，“基础安全从最原始的零安全荒漠时代，到现在我们谈的安全的内生、原生、左移、切面等等安全理念词汇，总共经历了四个时代。" 基础安全发展到如今，大家的共同点都是离业务越来越近，与业务耦合的越来越紧密，通过安全为业务护航。他表示，提升业务的安全认知以及在安全中的参与度、建设对业务好用的安全工具是这一阶段的重点任务。
在这里插入图片描述百度安全副总经理顾孔

01 Comate智能代码助手安全实践

与会，百度研发安全负责人陈长林分享了百度智能代码助手Baidu Comate的安全实践。生成式AI正在为软件研发领域带来了前所未有的机遇，大模型的理解、生成、逻辑、记忆能力同软件研发领域相结合，不仅大幅提升代码的开发质量和效率，而且让研发安全转化为切实的交付结果。围绕 “AI+需求”、“AI+编码”、“AI+测试发布”的三大关键流程，陈长林分享了Baidu Comate在企业内部推进“安全左移”的实践经验。Comate不仅能够帮助工程师进行研发提效，还能够帮助工程师发现并快速解决安全问题，让业务代码更加安全。同时通过安全增强模式、数据脱敏保护机制，让Comate产品本身更加安全可靠，让用户用的更放心。
在这里插入图片描述
百度研发安全负责人陈长林

02 智能网联汽车的漏洞挖掘与安全建设实践

随着网联化和智能化技术在汽车领域的快速发展，汽车也愈发信息化，这使得网络安全问题变得日趋重要。小米智能终端安全实验室安全研究员马琪灿，基于小米安全团队在智能网联汽车安全研究领域的深厚积累，通过剖析真实的漏洞挖掘案例，阐述了汽车攻击面的构成以及相应的分析方法，并分享了小米在汽车自动化安全能力建设方面的实践经验，包含了智能网联汽车安全测试与合规评估系统的架构设计等重要内容。

在这里插入图片描述

小米智能终端安全实验室安全研究员马琪灿

03 研发安全建设的最后一公里

奇安信产品安全高级经理，兼网络安全部蓝军负责人武鑫表示，SDL或DevSecOps已逐步在各大公司落地，但初步建成的效果并不是很好，比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里，也就是研发安全工作落地的最后关键环节，是需要大家对非自主发现的高危风险进行深度复盘剖析，下沉到研发体系、流程、规范、工具能力及人工测试的环节，一步步找出根因并解决问题，以此提升研发安全效果。
在这里插入图片描述
奇安信产品安全高级经理武鑫

04 逻辑越权风险治理实践

近年来，随着企业安全水位不断提升，通用漏洞及组件配置类漏洞等可通过各扫描产品前置左移，实现自动化检测及治理。但在逻辑漏洞中，由于逻辑漏洞与业务强相关，传统扫描思路难以适应复杂的业务逻辑和不同的业务场景，扫描工具无法理解实际业务带来大量的误报，导致逻辑漏洞风险一直无法有效收敛。京东应用安全产品负责人Stefan，结合京东在治理逻辑越权风险实践经验，为大家分享如何在多元化业务场景中，通过结合联动多个扫描产品并借助大模型辅助来高精度发现逻辑越权类风险，同时为大家分享在实际业务推广过程中的难点及治理思路。

在这里插入图片描述
京东应用安全产品负责人 Stefan

05 软件供应链安全建设实践

随着软件供应链成为企业软件应用开发新模式，随之也会带来新的安全威胁，要求企业应用安全必须进行思路变革。墨菲安全创始人 & CEO 章华鹏结合墨菲安全在头部互联网、金融、运营商等行业企业的软件供应链安全实践，于会上分享了墨菲安全对于企业软件供应链安全治理思路，并针对将供应链安全能力融合进软件应用生命周期普遍存在的六大关键难点及挑战给出了具体的应对方案，助力企业软件供应链安全建设。

在这里插入图片描述

墨菲安全创始人 & CEO 章华鹏

06多模态大模型安全前沿进展

多模态大模型被视为通往AGI（通用人工智能）的必由之路，随着人工智能技术的飞速发展，多模态大模型的安全风险受到了广泛关注。北京航空航天大学复杂关键软件环境全国重点实验室人工智能博士生应宗浩概述了多模态大模型的必要背景知识，随后以企业蓝军攻击视角，从对抗攻击、越狱攻击、后门攻击三方面介绍了近期的前沿进展，并结合针对国内外流行的商业多模态大模型的越狱攻击测评示例，以期安全社区能够加强相关防护，促进人工智能技术可靠可信发展。

在这里插入图片描述
北京航空航天大学人工智能博士生应宗浩

沙龙将持续聚焦企业安全建设，如：攻防渗透、应急响应、企业零信任架构、数据安全与隐私保护、邮件安全等当下企业安全的热点话题持续展开探讨，根据不同话题，百度安全“度安讲”安全技术沙龙将采取“闭门+公开”相结合的形式，敬请期待！

度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

01 Comate智能代码助手安全实践

02 智能网联汽车的漏洞挖掘与安全建设实践

03 研发安全建设的最后一公里

04 逻辑越权风险治理实践

05 软件供应链安全建设实践

06多模态大模型安全前沿进展

相关文章：

度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

代码片段 | Matlab三维图显示[ R T 0 1] 的最佳方法

2024百度之星跑步

【git】TortoiseGitPlink Fatal Error 解决方法

行心科技|中科利众：健康科技新合作，营养与科技融合前行

Xcode 打包报错Command PhaseScriptExecution failed with a nonzero exit code

使用 IPSET 添加 CDN 节点 IP（IPv4/IPv6）到防火墙白名单

oracle trim 函数很慢,加trim以后执行超慢，执行计划求解

【Leetcode Python】

Ubuntu系统的k8s常见的错误和解决的问题

Scala学习笔记7: 对象

【Linux】进程切换环境变量

嵌入式学习记录6.6（拷贝构造/友元函数/常成员函数）

宝塔 nginx 配置负载均衡 upstream

idea 插件推荐

【Linux】Linux环境基础开发工具_5

Java Web学习笔记15——DOM对象

中电联系列一：rocket手把手教你理解中电联协议！

（面试官问我微服务与naocs的使用我回答了如下，面试官让我回去等通知）微服务拆分与nacos的配置使用

冯喜运：6.7今日黄金原油行情分析及独家操作策略

树莓派超全系列教程文档--(61)树莓派摄像头高级使用方法

Java如何权衡是使用无序的数组还是有序的数组

多模态商品数据接口：融合图像、语音与文字的下一代商品详情体验

Springcloud：Eureka 高可用集群搭建实战（服务注册与发现的底层原理与避坑指南）

零基础设计模式——行为型模式 - 责任链模式

全志A40i android7.1 调试信息打印串口由uart0改为uart3

【HarmonyOS 5 开发速记】如何获取用户信息（头像/昵称/手机号）

Mobile ALOHA全身模仿学习

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

【Nginx】使用 Nginx+Lua 实现基于 IP 的访问频率限制