点击蓝字,关注我们
如今,IT 技术迅速发展,软件安全不仅是企业稳健运营的基础,更是整个社会经济体系安全的保障。加强软件安全,尤其是在开发阶段识别和修补漏洞,是企业必须重视的问题。国际数据公司(IDC)于近日发布的2024年V2版《全球网络安全支出指南》显示,2023年全球网络安全IT总投资规模达2,150亿美元,并预计到2028年将增长至3,732.9亿美元,五年复合增长率高达11.7%。
然而,传统软件漏洞扫描工具存在检测能力有限、误报率高、无法及时适应新型漏洞等问题。随着软件项目日益复杂,这些工具在识别深层次、隐蔽漏洞方面显得力不从心。同时,攻击者技术的不断进步,新类型的安全威胁不断出现,传统漏洞扫描工具的静态规则库难以跟上发展步伐。
在此背景下,OpenCSG推出 StarShip SecScan——基于大模型的软件安全防护方案,引领软件安全进入 AI 驱动的新时代!StarShip SecScan 利用 AI 大模型的能力,深入分析软件代码,准确识别潜在的安全威胁和漏洞,颠覆传统漏洞扫描模式。
三大特点
更精准: 深度理解代码逻辑,精准识别各类漏洞,误报率大幅降低。
更全面: 覆盖更广泛的漏洞类型,包括新型、复杂的未知漏洞。
更高效: 扫描速度提升数倍,轻松应对大规模、高频率的扫描需求。
四大功能
StarShip SecScan 可对项目源代码或具体代码变更进行安全扫描,能指出潜在问题所在的代码行或片段、问题严重级别,更重要的是,它还提供了针对检测到的问题的修复建议。全方位的扫描和修复建议,可以让开发团队快速识别并修复安全缺陷,提升软件的安全性能。
StarShip SecScan可对项目或者具体代码变更所引入的第三方包进行扫描,若有安全漏洞,SecScan会给出详细的问题描述和升级建议。
StarShip SecScan将安全扫描功能集成到主流的IDE开发环境中,开发人员可在软件开发早期阶段灵活选择扫描对象如单个文件、特定文件夹或整个项目代码库。对于单个文件扫描,StarShip SecScan 可即时返回结果;对于文件夹或项目扫描,完成后 IDE 侧会呈现扫描报告。
StarShip SecScan支持将扫描结果以Markdown的形式直接呈现到代码变更请求(MR)中,也可以导出PDF或者Json格式的完整报告。报告按验证级别由高到低来呈现问题描述、问题级别和问题修复建议等。
StarShip SecScan与传统 DevSecOps
从检测范围、检测方式和未知漏洞识别等9个方面对比 StarShip SecScan 与传统 DevSecOps,可看出 StarShip SecScan 更智能地识别漏洞,检索更全面,能发现未公开的安全漏洞,可智能修复漏洞,一键触发,自动生成报告,统一输出,易于理解,可灵活组织自定义规则,支持多种编程语言,降低成本的同时提高效率。
经典案例
某企业软件研发部门在项目发布前夕,分别采用传统的DevSecOps工具和基于LLM的StarShip SecScan对项目引入的第三方包和全部源代码进行安全漏洞扫描,共扫描750个文件。从扫描结果来看,StarShip SecScan较传统DevSecOps发现了更多的安全漏洞(216 vs. 92),关键漏洞数也大幅提升(71 vs. 7)。
注:上图(右)中提示的Critical问题,传统DevSecOps高于SecurityScan,经分析,主要原因是DevSecOps误报所致。
从扫描结果来看,SecScan误报率大大降低,漏洞更有效(71% vs. 8%),对于传统工具发现的关键漏洞,SecScan 的提示中100%覆盖,同时,基于SecScan智能化的提供了部分风险点的修复建议,大幅降低漏洞修复时间, 有效的降低了安全风险。
安全是软件生命周期中不可或缺的一部分,StarShip SecScan提供了一种智能的安全解决方案,帮助企业提升软件安全标准,降低潜在风险,确保业务持续稳定运行。StarShip SecScan 在快速迭代中,将推出以下新功能:
智能修复安全漏洞
智能安全配置和策略管理,自定义安全策略等
智能威胁分析与欺诈检测
智能安全运营与智能狩猎
