继ChatGPT发布后,如何将大语言模型技术与各个领域结合应用引起了广泛的关注与探讨。随着这股AI浪潮的兴起,谷歌、微软、百度等公司也纷纷推出了自己的大语言模型,并且在机器翻译、文本摘要、情感分析、对话系统、问答系统等多个领域得到了广泛的应用。在开发安全领域,静态代码检测技术也因为大语言模型的出现,有了产生变革的可能。然而,目前国内开发安全领域对大语言模型的应用仍然相对较少。
为了促进相关领域的科学研究,推动科技技术经济产业的发展,海云安和深圳大学-大数据系统计算技术国家工程实验室共同建立了人工智能联合实验室。双方在合作中充分发挥各自的优势,共同为AI大语言模型(LLM)技术在开发安全领域的发展和应用中探索新的道路。
高敏捷信创白盒SCAP是海云安的一款静态代码检测产品,在国内白盒产品中处于领先地位。经过数年的自主研发和技术创新,SCAP拥有明显优于传统白盒的高准确率和高检测效率,能够更好的融入快节奏的敏捷开发流程。同时,SCAP能够兼容企业信创环境,是自主开发、安全可控的国产化产品。ChatGPT发布后,海云安一直在积极尝试将大语言模型应用到SCAP中,以解决现阶段白盒实际应用中遇到误报率高、缺陷成因解释不直观、缺陷修复方案效果不佳等难题。
近日,海云安在国内首次将大语言模型(LLM)应用到静态代码检测中,发布了国内首款融合AI大语言模型(LLM)的源代码检测平台SCAP++。
相对于SCAP,SCAP++结合大语言模型主要解决了白盒实际应用中的三个难题:
1.传统白盒难以避免的存在较高的误报率,SCAP++通过大语言模型对源代码检测平台的检测结果进行自动化的误报判断,有效降低误报率。
2.传统的白盒扫描产品对同类缺陷统一使用通用的缺陷描述,没有切合缺陷实际情况进行分析解释,使缺陷理解存在一定门槛;SCAP++通过大语言模型结合用户实际业务代码,生成针对性的缺陷成因解释,使用户可以更加直观地理解缺陷产生的原因,帮助用户更好地理解和解决问题。
3.传统的白盒扫描产品提供通用性的缺陷修复方案和修复代码示例,在用户实际修复时往往遇到修复方法使用不规范、修复示例简单笼统,与复杂的实际,不符等情况,导致用户并不确定缺陷是否被真实修复;SCAP++通过大语言模型结合缺陷的具体情况和上下文生成可直接应用于缺陷修复的代码修复方案,能够帮助用户更快速、高效地解决问题。
大语言模型的引入为静态代码检测的发展带来了全新的可能,将成为白盒工具的未来发展重要趋势,海云安发布的源代码检测平台SCAP++是国内开发安全领域的一次重要突破,通过引入AI技术,该平台不仅提高了检测准确性,降低了开发成本,还提升了开发效率。未来,随着AI技术的进一步发展,我们有理由相信源代码检测工具将更加智能、高效,为软件产业的发展带来更大的价值。