11月30日,「智效融合,安全護航」西安站·暨第八期“度安講”技術沙龍成功舉辦,沙龍聚焦企業智慧化工程效能探索及其安全能力建設實踐等熱點議題,來自百度、四葉草安全、智點科技、員明科技、開源中國,以及西安高新區數字產業企業家商會和西安高新區人工智慧應用交流中心、西安青年企業家協會、西安市資料產業協會的各界生態夥伴共聚一堂,共話人工智慧時代下的企業工程效能創新提升與平穩健康發展之路。
第八期“度安講”技術沙龍
致辭
百度副總裁陳洋在致辭中表示,大模型正在重塑研發效率和安全,一方面透過多個智慧體流水線協同,大幅提升工程效率與企業創造力;另一方面,安全作為一個長期以來的話題,在追求效率的同時,如何透過新技術的應用,從根源上解決傳統模式中看似矛盾的問題,實現效率、質量、安全的三者兼得,也是當下企業關注的話題。今天我們講“智效融合,安全護航”,旨在透過與會者的深度觀點交流碰撞,為人工智慧時代下的企業工程效能創新提升與平穩健康發展,提供一套切實可行的思路與方案,攜手各界生態合作伙伴,探索人工智慧與企業提效的融合之路。
百度副總裁陳洋
潘多拉魔盒中的數字風險
四葉草安全創始人兼董事長馬坤在主題分享中深入剖析當前中國式現代化所面臨的網路安全挑戰與機遇,聚焦數字經濟、數字生活、軍事強國、人才培養等四個方面,探討如何共築安全防線。
馬坤錶示,隨著雲、大資料、物聯網、人工智慧、區塊鏈、5G等新技術的蓬勃發展,數字經濟已成為推動生產力發展的重要力量,作業系統、演算法、協議等基礎設施的安全,直接關係到整個數字經濟的穩定與發展。在數字生活方面,隨著智慧城市、智慧醫療、智慧交通、智慧金融等領域的普及,網路安全問題已經滲透到社會生活的方方面面,關乎企業資訊保安、個人資訊與隱私,甚至生命安全。在軍事強國方面,網路戰已成為一種全新的戰爭形態,自主可控是保障網路安全、資訊保安的前提,而擁有強大的網路安全能力和技術,對於維護國家安全和戰略利益具有重要意義。
演講中,馬坤援引多個實際案例來闡述當下複雜形勢下網路安全的重要性和緊迫性,為了推動數字經濟的健康發展,呼籲企業須深化安全內控體系,完善安全監測體系,強化安全運營體系,健全安全督查制度,同時需加強對高素質網路安全人才的培養。
四葉草安全創始人兼董事長馬坤
安全又高效:大模型賦能安全左移
近來,大模型技術不斷推動著應用創新,特別是在程式碼安全智慧體方面,得以高效賦能安全左移。百度研發安全負責人陳長林深入淺出地分析了傳統研發安全面臨的困境,並提出了基於大模型的創新解決方案。他指出,傳統研發安全存在三大痛點:管控流程滯後導致安全隱患已線上上,漏洞修復需要大量人工介入導致業務成本高,以及安全運營需要持續人力投入導致運營成本高。
為解決這些問題,百度在文心快碼中推出了安全智慧體,能夠實現漏洞發現即修復,透過檢測、修復、驗證三個關鍵環節完成整個漏洞修復閉環。該智慧體包含三大核心能力:首先是全面的漏洞檢測能力,覆蓋SQL隱碼攻擊、命令注入等通用漏洞,Log4j2、Fastjson等供應鏈漏洞,以及AK/SK、密碼、Token等機密資訊掃描;其次是基於文心大模型的自動修復能力,結合了百度多年的攻防經驗和海量程式碼資料,構建了專屬的漏洞修復模型,實現了超過75%的修復成功率;最後是完整的驗證機制,透過語法檢查和漏洞複測,確保修復結果的準確性和安全性。
在實踐落地方面,百度採用了"全流程左移"的策略,將安全能力前置到開發各個環節。從IDE開發環節開始,透過智慧提醒和一鍵修復功能,幫助開發者在編碼階段就發現並解決問題;在程式碼倉庫環節,透過安全檢測和自動通知機制,確保程式碼提交的安全性;在流水線構建環節,設立安全門禁,防止存在漏洞的程式碼流轉到下游;在製品庫環節,透過安全門禁確保最終交付物的安全性。這種全方位的安全左移策略取得了顯著成效。在近4個月內該方案已阻斷了1500多次存在漏洞的流水線,實現了84%的漏洞修復率,以及62%的自動修復採納率。更重要的是,這種方案改變了傳統依賴管理流程的被動防禦模式,轉向了技術驅動的主動防禦模式,實現了安全、質量、效率的統一。
百度研發安全負責人陳長林
Gitee DevSecOps:智慧化軟體工廠實踐與探索
隨著企業數字化轉型持續深入,企業軟體體系逐步龐大,軟體研發的資產治理與資產安全已成為關鍵議題。然而,很多企業過分關注部分研發流程管理,卻忽視了對研發資產的系統化管理,導致資產散落、核心資產意外丟失、資產內容缺乏約束等問題。開源中國研發總監李彥成表示,軟體的黑盒化問題會隨著時間推移而加劇,如果沒有一套透明的機制進行串聯,企業將面臨資產追溯困難、研發週期延長、軟體關聯性差等多重挑戰。為應對這些問題,Gitee提出了完整的研發資產治理體系,圍繞文件資產、程式碼資產和製品資產三大核心領域展開全方位管理。
資產串聯的重要性在於透過以版本為核心的資產管理與整合交付體系,實現了從需求到文件,到程式碼,再到製品的完整追溯。這種方式不僅解決了資產碎片化的問題,還為後續的維護和迭代提供了可靠保障。在某銀行的實踐案例中,該方案幫助客戶實現了研發全流程打通、需求線上細化與跟蹤、雙模式管理(穩態與敏態)等多多重目標。更重要的是,這種資產管理方式為企業的安全治理提供了基礎。以DevSecOps全流程安全管控平臺的建設,將安全能力融入到研發全過程,包括情景式需求分析和威脅建模、開源威脅治理、持續威脅模擬等多個維度。這種方式不僅解決了傳統工具串聯的侷限性,更支援企業敏捷開發體系的建設。尤其是在當前複雜的地緣形勢下,李彥成認為,加強研發資產的自主可控和安全管理顯得尤為重要。透過建立完善的資產管理體系,企業不僅能是升研發效能,更能為國產化替代和供應鏈安全提供有力支撐。
開源中國研發總監李彥成
百度智慧化程式碼開發實踐:編碼現場與AI同儕
百度資深工程師李楊介紹了百度內部在提升研發效能方面的創新工具與實踐經驗。李楊表示,百度透過雲IDE、文心快碼等工具,有效提升了研發效率,並已在多個行業實現商業化落地。
李楊首先介紹了雲IDE的研發背景與核心價值。他指出,大型企業面臨的開發環境複雜、平臺切換頻繁等問題,嚴重製約了研發效率。雲IDE透過整合DevOps能力,將需求、文件、程式碼評審、程式碼掃描等一系列環節整合至統一平臺,實現了研發流程的一站式管理。此外,雲IDE還利用容器化技術快速構建開發環境,特別適用於AI開發等需要複雜環境配置的場景,極大地縮短了環境搭建和問題解決的時間。在雲IDE的基礎上,百度進一步將DevOps能力左移,將安全掃描、雲端編譯等原本在流水線上進行的工作前置到程式設計現場,確保了程式碼的安全性和規範性。同時,雲IDE還具備強大的資料度量能力,能夠收集並分析開發者在IDE中的運算元據,為最佳化研發流程提供資料支援。
在智慧編碼領域,李楊重點介紹了百度文心快碼這一大模型賦能的研發提效工具。文心快碼自推出以來,已在百度內部實現了廣泛應用,目前在百度內部採納率已達到46%,程式碼生成佔比高達30%,顯著提升了程式碼編寫效率。李楊表示,文心快碼不僅能夠在完成程式碼續寫、最佳化等任務,還能在需求階段幫助工程師進行任務拆解、需求澄清和架構理解,在編碼階段針對工程師程式碼自動發現和修復漏洞,在測試階段自動化生成單元測試,確保研發質量和安全,從而實現了從需求到釋出的全流程賦能。透過開放平臺的方式,文心快碼還支援自定義外掛的開發,進一步擴充了其應用場景和靈活性。
最後李楊強調,未來文心快碼將繼續探索人機協同新模式,推出更多智慧體以賦能到軟體開發流程的更多環節。同時與更多生態合作伙伴開放合作,將大模型的能力推廣給到更多開發者,共同推動研發效能的全面提升。
百度資深工程師李楊
百度辦公安全實踐分享
百度企業IT平臺部經理王超在演講中分享了百度企業網路安全的實踐和經驗,詳細闡述了企業在建設網路系統過程中如何解決安全問題。結合行業和百度自身的辦公安全建設,王超指出做企業安全有兩點很重要,一是要具備駭客思維,逆向思考,提升安全防護能力;二是要把握好企業安全和員工體驗之間的平衡,做好安全、提效、提升工作體驗。
將企業網路安全形象化地比作家庭防盜,提出了三層架構理念,即物理安全、身份認證和監控預警,類比於TCP/IP五層模型,強調每一層都需要加強防護。以百度的辦公安全為例,逐層做了詳細介紹。在物理層,關鍵是如何迅速識別並應對外部WiFi威脅,保護企業網路安全。在鏈路層,討論瞭如何透過系統最佳化來解決安全問題,而不是僅依賴報警。在網路層,王超介紹了百度自研的VPN方案,透過雲化方式提升使用者體驗並降低成本。在傳輸層,重點分享瞭如何基於身份型策略,使策略變得可運維,大大降低了成本。在應用層,則強調了持續檢測和流量控制的重要性;另外,透過安裝端即解決了安全問題,同時也為員工提供非常多實用有趣的工具和能力,大大提升了工作體驗和效率。
百度企業IT平臺部經理王超
圓桌:智效融合,安全護航
在圓桌討論環節,嘉賓們圍繞人工智慧在企業安全與效能提升方面的應用,以及供應鏈安全展開了深入討論。
百度副總裁陳洋表示,當前大模型技術相比早期AI有了質的飛躍,不僅能解決特定問題,更能應對長尾需求,推動各行各業進入AI原生時代。四葉草安全創始人馬坤從實踐角度指出,雖然AI能在研發提效方面發揮重要作用,但從生成式AI到應用式AI還有一段距離,企業需要務實地看待AI的應用價值;智點科技董事長房一里則強調,從效率提升的角度來評估AI的價值,關鍵是要讓決策者理解AI能帶來的實際收益。具體來看,軟體研發中編碼僅佔20-30%,還有大量工作集中在需求溝通、測試等環節。開源中國研發總監李彥成認為,AI不僅能提升編碼效率,更應該著眼於整個研發流程的最佳化。百度研發安全負責人陳長林則從安全形度分享了大模型在程式碼漏洞自動修復等領域的突破性進展,展示了AI在細分領域的實際價值。
此外,在供應鏈安全方面,員明科技有限公司董事長王員則從行業角度分享了在地下基礎設施探測等領域的國產化替代經驗。與會專家一致認為,面對當前形勢,企業既要理性看待AI帶來的機遇與挑戰,又要未雨綢繆,在供應鏈安全、自主創新等方面做好充分準備。這既是挑戰,更是推動中國科技產業升級的重要機遇,產學研用各界要加強協作,共同構建安全可控的技術生態體系。
圓桌討論:《智效融合,安全護航》
