度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

news2024/11/24 6:41:24

在这里插入图片描述
当下,“安全左移”作为落地DevSecOps的重要实践之一,已在业界达成共识。DevSecOps作为一种集开发、安全、运维于一体的软件开发和运营模式,强调在敏捷交付下,“安全”在软件开发生命周期的全覆盖贯穿和核心位置。所谓“安全左移”,与软件开发生命周期密切相关,即在软件开发生命周期的早期,也就是在计划、编码阶段安全措施的介入,旨在从上游源头把控“安全”这一软件交付的底线与基石,降低后期的修复成本与风险。

近年来,各类供应链攻击事件呈现爆发增长的态势,由此衍生的蝴蝶效应再次凸显了“安全左移”在DevSecOps模式中的重要性。不仅如此,考虑到网络安全体系的庞杂,黑产技术对抗逐年升级,对企业的纵深防御能力和安全合规提出更高的要求,不止于软件开发,“安全左移”正在落地应用于数据安全、大模型安全、智能网联车安全等各类场景。在此背景下,百度安全第二期「度安讲」安全技术沙龙日前在北京举办,来自百度、奇安信、小米、京东、墨菲安全、北京航空航天大学等企业机构的多位安全专家汇聚一堂,聚焦安全左移和业务安全保障相关主题进行深入探讨,共同探索并丰富安全左移的理论和实践。

在这里插入图片描述度安讲 | 第二期「安全左移·业务护航」技术沙龙
在这里插入图片描述
BSRC&Comate展台

百度安全副总经理顾孔希发表致辞,并结合基础安全业务的发展沿革,分享了对“安全左移”的看法,“基础安全从最原始的零安全荒漠时代,到现在我们谈的安全的内生、原生、左移、切面等等安全理念词汇,总共经历了四个时代。" 基础安全发展到如今,大家的共同点都是离业务越来越近,与业务耦合的越来越紧密,通过安全为业务护航。他表示,提升业务的安全认知以及在安全中的参与度、建设对业务好用的安全工具是这一阶段的重点任务。
在这里插入图片描述百度安全副总经理 顾孔

01 Comate智能代码助手安全实践

与会,百度研发安全负责人陈长林分享了百度智能代码助手Baidu Comate的安全实践。生成式AI正在为软件研发领域带来了前所未有的机遇,大模型的理解、生成、逻辑、记忆能力同软件研发领域相结合,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。围绕 “AI+需求”、“AI+编码”、“AI+测试发布”的三大关键流程,陈长林分享了Baidu Comate在企业内部推进“安全左移”的实践经验。Comate不仅能够帮助工程师进行研发提效,还能够帮助工程师发现并快速解决安全问题,让业务代码更加安全。同时通过安全增强模式、数据脱敏保护机制,让Comate产品本身更加安全可靠,让用户用的更放心。
在这里插入图片描述
百度 研发安全负责人 陈长林

02 智能网联汽车的漏洞挖掘与安全建设实践

随着网联化和智能化技术在汽车领域的快速发展,汽车也愈发信息化,这使得网络安全问题变得日趋重要。小米智能终端安全实验室安全研究员马琪灿,基于小米安全团队在智能网联汽车安全研究领域的深厚积累,通过剖析真实的漏洞挖掘案例,阐述了汽车攻击面的构成以及相应的分析方法,并分享了小米在汽车自动化安全能力建设方面的实践经验,包含了智能网联汽车安全测试与合规评估系统的架构设计等重要内容。

在这里插入图片描述

小米智能终端安全实验室安全研究员 马琪灿

03 研发安全建设的最后一公里

奇安信产品安全高级经理,兼网络安全部蓝军负责人武鑫表示,SDL或DevSecOps已逐步在各大公司落地,但初步建成的效果并不是很好,比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里,也就是研发安全工作落地的最后关键环节,是需要大家对非自主发现的高危风险进行深度复盘剖析,下沉到研发体系、流程、规范、工具能力及人工测试的环节,一步步找出根因并解决问题,以此提升研发安全效果。
在这里插入图片描述
奇安信产品安全高级经理 武鑫

04 逻辑越权风险治理实践

近年来,随着企业安全水位不断提升,通用漏洞及组件配置类漏洞等可通过各扫描产品前置左移,实现自动化检测及治理。但在逻辑漏洞中,由于逻辑漏洞与业务强相关,传统扫描思路难以适应复杂的业务逻辑和不同的业务场景,扫描工具无法理解实际业务带来大量的误报,导致逻辑漏洞风险一直无法有效收敛。京东应用安全产品负责人Stefan,结合京东在治理逻辑越权风险实践经验,为大家分享如何在多元化业务场景中,通过结合联动多个扫描产品并借助大模型辅助来高精度发现逻辑越权类风险,同时为大家分享在实际业务推广过程中的难点及治理思路。

在这里插入图片描述
京东应用安全产品负责人 Stefan

05 软件供应链安全建设实践

随着软件供应链成为企业软件应用开发新模式,随之也会带来新的安全威胁,要求企业应用安全必须进行思路变革。墨菲安全创始人 & CEO 章华鹏结合墨菲安全在头部互联网、金融、运营商等行业企业的软件供应链安全实践,于会上分享了墨菲安全对于企业软件供应链安全治理思路,并针对将供应链安全能力融合进软件应用生命周期普遍存在的六大关键难点及挑战给出了具体的应对方案,助力企业软件供应链安全建设。

在这里插入图片描述

墨菲安全创始人 & CEO 章华鹏

06多模态大模型安全前沿进展

多模态大模型被视为通往AGI(通用人工智能)的必由之路,随着人工智能技术的飞速发展,多模态大模型的安全风险受到了广泛关注。北京航空航天大学复杂关键软件环境全国重点实验室人工智能博士生应宗浩概述了多模态大模型的必要背景知识,随后以企业蓝军攻击视角,从对抗攻击、越狱攻击、后门攻击三方面介绍了近期的前沿进展,并结合针对国内外流行的商业多模态大模型的越狱攻击测评示例,以期安全社区能够加强相关防护,促进人工智能技术可靠可信发展。

在这里插入图片描述
北京航空航天大学人工智能博士生 应宗浩

沙龙将持续聚焦企业安全建设,如:攻防渗透、应急响应、企业零信任架构、数据安全与隐私保护、邮件安全等当下企业安全的热点话题持续展开探讨,根据不同话题,百度安全“度安讲”安全技术沙龙将采取“闭门+公开”相结合的形式,敬请期待!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1796286.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue 文件预览mp4、txt、pptx、xls、xlsx、docx、pdf、html、xml

vue 文件预览 图片、mp4、txt、pptx、xls、xlsx、docx、pdf、html、xml 最近公司要做一个类似电脑文件夹的功能,支持文件夹操作,文件操作,这里就不说文件夹操作了,说说文件预览操作,本人是后端java开发,前端vue&#…

gRPC实战 | 实现Python 和 Go 之间的 gRPC 交互

前言 📢博客主页:程序源⠀-CSDN博客 📢欢迎点赞👍收藏⭐留言📝如有错误敬请指正! 一、gRPC 简介 gRPC是一个高性能、通用的开源RPC框架,其由Google主要面向移动应用开发并基于HTTP/2协议标准而设…

eNSP学习——RIP路由协议的汇总

目录 主要命令 原理概述 实验目的 实验内容 实验拓扑 实验编址 实验步骤 1、基本配置 2、配置RIPv1协议 3、配置RIPv2自动汇总 4、配置RIPv2手动汇总 需要eNSP各种配置命令的点击链接自取:华为eNSP各种设备配置命令大全PDF版_ensp配置命令大全…

Acwing 786.第K个数

Acwing 786.第K个数 题目描述 786. 第k个数 - AcWing题库 运行代码 #include <iostream> #include <algorithm> using namespace std; const int N 100010; int q[N];int main() {int n, k;scanf("%d%d", &n, &k);for (int i 0; i < n; …

网络通讯协议UDP转发TCP工具_UdpToTcpRelay

网络通讯协议UDP转发TCP工具_UdpToTcpRelay 本程序旨在提供一个灵活的、可配置的服务&#xff0c;它处理特定的UDP端口以接收命令&#xff0c;然后将这些命令转换为TCP命令并通过网络发送到指定的TCP服务器【TCP支持十六进制和ASCII】。 此设计特别适用于需要远程控制或自动化…

百度/迅雷/夸克,网盘免费加速,已破!

哈喽&#xff0c;各位小伙伴们好&#xff0c;我是给大家带来各类黑科技与前沿资讯的小武。 之前给大家安利了百度网盘及迅雷的加速方法&#xff0c;详细方法及获取参考之前文章&#xff1a; 刚刚&#xff01;度盘、某雷已破&#xff01;速度50M/s&#xff01; 本次主要介绍夸…

Day23 自定义对话框服务

​本章节实现了,自定义对话框服务的功能 当现有的对话框服务无法满足特定需求时,我们可以采用自定义对话框的解决方案,以更好地满足一些特殊需求。 一.自定义对话框主机服务步骤 在Models 文件夹中,再建立一个 IDialogHostService 接口类,继承自 IDialogService 对话框服…

[个人总结]-java常用方法

1.获取项目根路径 user.dir是一个系统属性&#xff0c;表示用户当前的工作目录&#xff0c;大多数情况下&#xff0c;用户的当前工作目录就是java项目的根目录&#xff08;src文件的同级路径&#xff09; System.getProperty("user.dir") 结果&#xff1a;D:\code…

什么是IDE?– 集成开发环境

IDE &#xff08;集成开发环境&#xff09;是将常用的开发人员工具组合到紧凑的 GUI&#xff08;图形用户界面&#xff09;应用程序中的软件。它是代码编辑器、代码编译器和代码调试器等工具与集成终端的组合。 为什么 IDE 很重要&#xff1f; 人们当然不需要 IDE来编码或开发…

【动手学深度学习】softmax回归从零开始实现的研究详情

目录 &#x1f30a;1. 研究目的 &#x1f30a;2. 研究准备 &#x1f30a;3. 研究内容 &#x1f30d;3.1 softmax回归的从零开始实现 &#x1f30d;3.2 基础练习 &#x1f30a;4. 研究体会 &#x1f30a;1. 研究目的 理解softmax回归的原理和基本实现方式&#xff1b;学习…

Python SQLAlchemy库详解

大家好&#xff0c;在Python生态系统中&#xff0c;SQLAlchemy库是一个强大的工具&#xff0c;为开发人员提供了便捷的方式来处理与数据库的交互。无论是开发一个小型的Web应用程序&#xff0c;还是构建一个大型的企业级系统&#xff0c;SQLAlchemy都能满足你的需求&#xff0c…

hid.dll丢失怎么办?hid.dll丢失多种解决方法详解

hid.dll&#xff0c;即Human Interface Device (HID) Dynamic Link Library&#xff0c;是Windows操作系统中用于管理人机交互设备&#xff08;如键盘、鼠标、游戏控制器等&#xff09;的动态链接库文件。它负责处理这些设备的输入和输出&#xff0c;确保设备与系统之间的通信顺…

SpringBoot+Vue在线考试答题系统【附:资料➕文档】

前言&#xff1a;我是源码分享交流Coding&#xff0c;专注JavaVue领域&#xff0c;专业提供程序设计开发、源码分享、 技术指导讲解、各类项目免费分享&#xff0c;定制和毕业设计服务&#xff01; 免费获取方式--->>文章末尾处&#xff01; 项目介绍016&#xff1a; 本…

windows10子系统wsl ubuntu22.04下GN/ninja环境搭建

打开windows10子系统 ubuntu22.04 ubuntu22.04: 首先需要 安装ninja $sudo apt install ninja-build $ ninja --version 1.10.0 安装clang $sudo apt install clang $clang --version Ubuntu clang version 14.0.0-1ubuntu1.1安装gn Github: https://github.com/timniederh…

如何在npm上发布自己的包

如何在npm上发布自己的包 npm创建自己的包 一、一个简单的创建 1、创建npm账号 官网&#xff1a;https://www.npmjs.com/创建账号入口&#xff1a;https://www.npmjs.com/signup 注意&#xff1a;需要进入邮箱验证 2、创建目录及初始化 $ mkdir ufrontend-test $ cd ufron…

LLM主流开源代表模型

LLM主流开源大模型介绍 1 LLM主流大模型类别 随着ChatGPT迅速火爆&#xff0c;引发了大模型的时代变革&#xff0c;国内外各大公司也快速跟进生成式AI市场&#xff0c;近百款大模型发布及应用。 目前&#xff0c;市面上已经开源了各种类型的大语言模型&#xff0c;本章节我们…

用idea将java文件打成jar包

一、用idea将java文件打成jar包 1、在idea上选择file—Project Structure 2、Artifacts —点–JAR—From modules with dependencies 3、选择要打包的java文件 4、Build — Build Artifacts 5、找到刚才添加的Artifacts直接Build 6、生成jar包文件

tomcat服务器之maxHttpHeaderSize

背景&#xff1a;在OA流程表单中&#xff0c;填写了200条数据&#xff0c;一提交&#xff0c;秒报400错误&#xff0c;且请求没有打到后端中&#xff08;无报错日志&#xff09;&#xff0c;一开始以为是谷歌浏览器的问题&#xff0c;可百度上关于这个错误的解决方案都是清除缓…

Renesas MCU之FreeRTOS的应用

目录 概述 1 FSP配置FreeRTOS 1.1 软件版本信息 1.2 配置FreeRTOS 2 FreeRTOS的Task 2.1 FSP下的项目结构 2.2 Task代码 2.2.1 Task测试案例配置 2.2.2 测试代码实现 3 自定义Task 3.1 编写代码 3.2 测试函数 4 测试 4.1 Task断点测试 4.2 板卡运行测试 概述 …

Spring boot 集成mybatis-plus

Spring boot 集成mybatis-plus 背景 Spring boot集成mybatis后&#xff0c;我们可以使用mybatis来操作数据。然后&#xff0c;我们还是需要写许多重复的代码和sql语句&#xff0c;比如增删改查。这时候&#xff0c;我们就可以使用 mybatis-plus了&#xff0c;它可以极大解放我…