大咖雲集騰訊DevSecOps實踐研討會，共話落地實踐經驗

隨著研發模式的不斷髮展，基於DevSecOps理念的開發安全體系建設變得越來越重要，層出不窮的軟體供應鏈安全事件也在不斷的提醒我們開發安全的重要性。同時，隨著人工智慧大模型技術的快速發展，開發安全技術也面臨著全新的機會和挑戰。

近日，騰訊安全組織的“DevSecOps行業實踐經驗分享會”在上海舉辦。

安全領域專家新加坡南洋理工大學劉楊教授、vivo應用安全負責人袁俊虎、騰訊開發安全產品規劃負責人劉天勇，與來自長三角地區的30多位企業應用安全負責人齊聚一堂，共同探討了企業踐行“安全左移”理念，落地DevSecOps過程中的困難、挑戰和應對經驗。同時，嘉賓們也圍繞人工智慧大模型技術崛起給企業從事應用開發安全建設帶來的機遇和挑戰。

AI大模型 已經運用在了漏洞檢測和修復中

長期深入研究AI和安全融合的劉楊博士，是新加坡南洋理工大學（NTU）電腦科學與工程學院教授，同時也是NTU網路安全實驗室主任、HP-NTU實驗室主任以及新加坡國家卓越衛星中心的副主任、Scantist聯合創始人。

他專攻軟體工程、網路安全和人工智慧領域，其研究填補了軟體分析中多項理論和實際應用之間的空白，研發了多款高效的軟體質量和安全檢測平臺併成功商業化。

劉楊博士的分享主題，涉及了人工智慧技術如何與 DevSecOps 流程和工具進行合作和整合，以提高安全開發和運維的效率。

早在2019年，人工智慧領域就提出了一種創新的安全思路——將機器學習引入到漏洞檢測領域，以期提高效率和準確性，在此階段，相關研究實際上是把程式碼的當成文字來去處理。

劉楊博士及其研究團隊認為，將程式碼視為純文字可能會導致與其本來的語義產生差異。他們的基本思路是將程式碼中的結構化資訊，如抽象語法樹（AST）和其他複雜資料結構，轉化成 ，然後利用這些資訊來學習程式碼的語義。實驗結果表明，在使用程式碼的結構化資訊進行訓練時，漏洞檢測的效果更好。

但在實際應用過程中，由於可用於訓練機器學習模型的漏洞資料量有限，劉楊博士帶領科研團隊不斷探索更加具有可落地的解決方案，在大量的實踐及創新之後，AI 賦能安全建設的落地場景逐漸顯現。劉楊博士強調，Secure Dev（安全開發）、Security Analysis（安全分析）以及Secure Ops（安全運維）等場景都可以受益於使用 AI 大模型來提升安全性。未來，或許 AI 將在更多的場景中助力安全體系的建設，透過對話和互動的方式來獲取程式碼的安全建議，從而減少對專業安全人員的依賴。

騰訊把自身DevSecOps 實踐深深融入產品中

“騰訊是開發安全產品的提供商，同時我們也是國內首批DevSecOps的實踐者。這讓我們同時具備甲乙方雙重視角，更容易站在客戶立場來做產品。”

簡單的開場白後，騰訊開發安全產品規劃負責人劉天勇跟在場嘉賓介紹起了騰訊作為一家非常重視應用開發安全的大公司，是如何向DevSecOps一步一步的演進的。

騰訊的應用開發安全建設歷程，可以追溯到2006年，最初的工作是圍繞漏洞響應、漏洞檢測和漏洞修復展開。到了2012年，隨著公司業務的不斷髮展，騰訊開發安全團隊結合微軟SDL和SAMM優點，提出了自己的企業級軟體安全開發生命週期模型——TSDL。這一階段騰訊採用了自研黑盒+外購商業化白盒的工具組合來構建檢測流程，同時建立了騰訊應急響應中心（TSRC）補全了外部漏洞防禦短板，相關的流程規範也在逐漸的落地。

2017年到2019年，公司的開發模式開始向DevOps轉型，騰訊開始以DevSecOps理念建設開發安全。這一階段，原有商業化採購的白盒產品由於速度慢、誤報高、資源佔有高，無法很好適應流水線場景。為DevSecOps場景而生的新一代開發安全產品Xcheck應運而生，Xcheck採用自研的技術路線，有效的解決了傳統白盒在流水線場景的使用問題，在騰訊內部實現了對原有商業化產品的替換，並在 2021 年開始面向市場商業化。

21年底，log4j事件的爆發，讓軟體供應鏈安全的重要性深入人心，騰訊Xcheck也將內部強大的原始碼+二進位制SCA能力整合到產品中，形成了集SAST+SCA+製品掃描一體化的開發安全檢測平臺。

如今，騰訊已完成了DevOps研發模式的轉型，以Xcheck為代表的開發安全工具和內部研效平臺深度整合，經受住了海量檢測任務的考驗。DevSecOps理念已在騰訊落地實踐並形成了公司文化。

vivo 的 DevSecOps 建設關鍵步驟和工具

最後，騰訊Xcheck的代表客戶vivo也進行了專題分享。vivo網際網路應用安全負責人袁俊虎分享了 vivo 在網際網路 DevSecOps 建設過程中的關鍵步驟和工具。

在流水線（程式碼）安全掃描流程中，提供原始碼層面的安全風險發現與排查能力，以確保在開發階段及時發現存在安全隱患的安全漏洞與不規範編碼問題。同時，將SAST、SCA等DevSecOps安全工具鏈預設整合於CICD流水線，持續提供掃描和反饋專案程式碼增量風險的能力。

在安全測試流程方面，主要依賴 IAST 工具來覆蓋常規版本的安全測試，透過將 IAST 與 CICD 流水線整合，在部署測試環境時預設開啟 IAST Agent，於功能測試環節完成安全風險檢測，之後形成漏洞工單完成處置閉環。

在袁俊虎看來，安全工具鏈是DevSecOps建設的基礎，將這些工具嵌入研發體系，確保它們與平臺整合，漸進的融合和持續的改進，從而實現安全流程的融合。最後安全文化是DevSecOps建設的核心，只有安全工具和安全流程具備一定的成熟度，才能更好的推動安全文化的落地，實現“人人為安全負責“，從而實現理想狀態的 DevSecOps。

瞭解更多，歡迎瀏覽：