应用安全中的智能:利用AI来加速DevSecOps(由Veracode赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/AIM239-S-Intelligence_in_AppSec__Use_AI_to_supercharge_DevSecOps__sponsored_by_Veracode___Veracode_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 人工智能和[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)无处不在。这对应用安全计划意味着什么?加入Veracode的这个闪电式演讲,了解如何利用负责任的人工智能和传统的开发者启用功能来增强你的应用安全计划,减少技术债务,并跟上现代软件开发的速度。这个演示由亚马逊云科技合作伙伴Veracode提供。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共900字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者首先承认，在实施合适的应用安全（AppSec）计划中，开发人员扮演着关键角色。他强调，如果不花时间了解开发者所面临的独特挑战，安全团队将难以推动开发者充分参与有效的AppSec计划。 为了说明典型开发者的思维方式，演讲者讲述了一个故事：他的一个朋友已经编程8年了。有一天，他的老板告诉他，在感恩节假期结束后回来，他需要立即使用他从未使用过的陌生安全扫描工具。这个消息让开发者朋友感到非常恐慌。当被问及为什么对新事物如此焦虑时，这位朋友回答说，他已经精通编写高效代码，并在8年里优化了他的流程。被迫突然将安全性纳入其工作流程被视为负担，因为他没有关于安全工具的培训，也不知道它们的情况。 这个故事展示了常见的开发者心态，即专注于编写代码、满足截止日期和解决问题。他们认为安全性是阻碍他们实现目标的障碍，并扰乱了他们精心调整的流程。开发者喜欢通过编写聪明的解决方案来克服挑战，而不是学习与他们构建应用程序无关的新系统。特别是当他们忙于构建功能时，安全性就会退居次要地位。 演讲者强调，在尝试利用AI优化或其他高级安全方法之前，第一步必须是正确地培训开发者，并为他们提供适当的技能和工具来修复他们代码中的潜在安全漏洞。然而，安全团队想要实施控制，而开发者想要在没有阻碍的情况下构建应用程序，这之间往往存在竞争目标。 为了帮助弥补这一差距，演讲者引入了一种名为Baro Security Labs的解决方案。这个服务采用有趣、游戏化的形式为开发者提供互动式安全培训。通过与传统的课堂讲座和被动的在线模块相比，Baro Security Labs利用竞争性的团队挑战、安全编码任务以及其他实际操作模拟，让开发人员在轻松愉快的氛围中学习安全编程。这有助于克服开发者的抵触情绪，激发他们建立安全知识的热情。 然而，演讲者承认，即使为开发者提供了互动式培训，应用程序中仍然会出现比开发者手动修复速度更快的漏洞。事实上，统计数据显示，76%的应用程序至少存在一个安全漏洞。这是因为修复漏洞是一个繁琐且耗时的过程。演讲者引用的一些数据显示，平均需要100到272天才能完全修复一个应用程序漏洞，具体取决于使用的编程语言。例如，C#应用程序的平均修复时间为100天，Java应用程序为185天，而C/C++应用程序则高达272天。 随着新的漏洞迅速积累，使用扫描工具检测到的漏洞速度和超负荷的开发人员实际修复速度之间的差距越来越大。这种技术债务的不断增长伴随着新漏洞的出现。 为了应对这一日益严重的问题，演讲者介绍了一种AI驱动的解决方案，名为Baro Code Fix。这个工具可以代表开发者自动修复安全漏洞，作为修复漏洞的协同驾驶员，其速度远远超过开发者手动修复的速度。Baro Code Fix利用负责任的人工智能功能，这些功能基于多年的研究，以理解如何架构应用程序以及如何为每个代码库的独特方面创建定制的安全修复。 通过消除开发人员以前必须执行的大量手动步骤，如研究漏洞、创建票据、编写和测试新代码，Baro Code Fix大大加速了修复过程。演讲者分享的关键数据显示，Code Fix可以将漏洞修复时间表减少84-99%，具体取决于语言。例如，它将C#的时间线减少99%，将Java减少95%，并将C/C++减少84%。此外，它还具有很高的修复准确性，使开发人员对AI生成的修复充满信心。 Baro Code Fix，一种自动修复大量已知安全漏洞的工具，使得开发人员能够专注于解决更有价值的安全问题和推动业务创新的挑战。该工具有助于缩短发现漏洞与修复漏洞之间的时间差，从而显著降低技术负债，提高开发者的工作效率。 总的来说，通过使用类似Code Fix的AI辅助工具，确保开发人员遵循安全的编码实践，可以显著加快应用安全进程。花时间理解开发人员的思维过程，使其安全培训更具吸引力，并利用负责的AI自动化修复，让开发人员成为解决方案的一部分而非障碍。为压力山大的开发人员提供正确的知识和工具，是消除发现漏洞与修复漏洞之间差距的最佳途径。通过借助AI提升开发人员的能力，组织可以大幅减少技术负债，并为用户提供更安全的应用程序。 **下面是一些演讲现场的精彩瞬间：** 了解开发者是创造负责任的人工智能系统的关键。  据领导者回忆，一位开发者曾对将安全性融入其精心打造的应用程序表示担忧。  相较于在后续过程中解决诸多问题，尽早解决问题能节省时间、金钱和精力。  亚马逊云科技的安全实验室通过游戏化挑战来帮助开发者学会安全的编程方式。  领导者还讨论了引入一款培训工具，以协助开发者理解并修复安全漏洞。  近日，领导者推出了一款具有革命性意义的新产品，它利用人工智能和[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)技术，旨在帮助开发者更快速地修复错误。  ## 总结 亚马逊云科技（Amazon Web Services）的re:Invent是一场重要的活动，亚马逊云科技在该活动中发布重要公告并举办各种主题讲座。在一次讲座中，一位演讲者探讨了如何赋予开发者权力以提高应用安全性。 这位演讲者指出，由于工作压力巨大，开发者往往无法充分关注安全问题。然而，他们在应用安全方面发挥着至关重要的作用。为了改善这一状况，演讲者建议为开发者提供互动式培训，教授安全的编码实践。这将有助于降低在开发过程中后期寻找和修复漏洞所需的时间和成本。演讲者特别强调了Baro Security Labs这款产品，它将安全的编码教育以游戏化的形式呈现。 尽管进行了培训，但发现的漏洞仍会超过开发者能够修复的速度。为了解决这一问题，演讲者推出了一款名为Baro Code Fix的新型AI驱动产品，它能够自动生成已识别漏洞的修复方案，从而大幅减少修复时间。这使得开发者可以将更多精力投入到更有价值的工作中。演讲者将Baro Code Fix视为一款具有变革性的产品，能够帮助开发者提高能力并缩小漏洞与修复能力之间的差距。 总之，演讲者认为提供正确的教育和AI辅助工具可以激发开发者提高应用安全性和DevSecOps。关键是理解开发者体验并提供使他们能够在开发过程中无缝地使用安全的解决方案。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")