度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

在这里插入图片描述
当下,“安全左移”作为落地DevSecOps的重要实践之一,已在业界达成共识。DevSecOps作为一种集开发、安全、运维于一体的软件开发和运营模式,强调在敏捷交付下,“安全”在软件开发生命周期的全覆盖贯穿和核心位置。所谓“安全左移”,与软件开发生命周期密切相关,即在软件开发生命周期的早期,也就是在计划、编码阶段安全措施的介入,旨在从上游源头把控“安全”这一软件交付的底线与基石,降低后期的修复成本与风险。

近年来,各类供应链攻击事件呈现爆发增长的态势,由此衍生的蝴蝶效应再次凸显了“安全左移”在DevSecOps模式中的重要性。不仅如此,考虑到网络安全体系的庞杂,黑产技术对抗逐年升级,对企业的纵深防御能力和安全合规提出更高的要求,不止于软件开发,“安全左移”正在落地应用于数据安全、大模型安全、智能网联车安全等各类场景。在此背景下,百度安全第二期「度安讲」安全技术沙龙日前在北京举办,来自百度、奇安信、小米、京东、墨菲安全、北京航空航天大学等企业机构的多位安全专家汇聚一堂,聚焦安全左移和业务安全保障相关主题进行深入探讨,共同探索并丰富安全左移的理论和实践。

在这里插入图片描述度安讲 | 第二期「安全左移·业务护航」技术沙龙
在这里插入图片描述
BSRC&Comate展台

百度安全副总经理顾孔希发表致辞,并结合基础安全业务的发展沿革,分享了对“安全左移”的看法,“基础安全从最原始的零安全荒漠时代,到现在我们谈的安全的内生、原生、左移、切面等等安全理念词汇,总共经历了四个时代。" 基础安全发展到如今,大家的共同点都是离业务越来越近,与业务耦合的越来越紧密,通过安全为业务护航。他表示,提升业务的安全认知以及在安全中的参与度、建设对业务好用的安全工具是这一阶段的重点任务。
在这里插入图片描述百度安全副总经理 顾孔

01 Comate智能代码助手安全实践

与会,百度研发安全负责人陈长林分享了百度智能代码助手Baidu Comate的安全实践。生成式AI正在为软件研发领域带来了前所未有的机遇,大模型的理解、生成、逻辑、记忆能力同软件研发领域相结合,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。围绕 “AI+需求”、“AI+编码”、“AI+测试发布”的三大关键流程,陈长林分享了Baidu Comate在企业内部推进“安全左移”的实践经验。Comate不仅能够帮助工程师进行研发提效,还能够帮助工程师发现并快速解决安全问题,让业务代码更加安全。同时通过安全增强模式、数据脱敏保护机制,让Comate产品本身更加安全可靠,让用户用的更放心。
在这里插入图片描述
百度 研发安全负责人 陈长林

02 智能网联汽车的漏洞挖掘与安全建设实践

随着网联化和智能化技术在汽车领域的快速发展,汽车也愈发信息化,这使得网络安全问题变得日趋重要。小米智能终端安全实验室安全研究员马琪灿,基于小米安全团队在智能网联汽车安全研究领域的深厚积累,通过剖析真实的漏洞挖掘案例,阐述了汽车攻击面的构成以及相应的分析方法,并分享了小米在汽车自动化安全能力建设方面的实践经验,包含了智能网联汽车安全测试与合规评估系统的架构设计等重要内容。

在这里插入图片描述

小米智能终端安全实验室安全研究员 马琪灿

03 研发安全建设的最后一公里

奇安信产品安全高级经理,兼网络安全部蓝军负责人武鑫表示,SDL或DevSecOps已逐步在各大公司落地,但初步建成的效果并不是很好,比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里,也就是研发安全工作落地的最后关键环节,是需要大家对非自主发现的高危风险进行深度复盘剖析,下沉到研发体系、流程、规范、工具能力及人工测试的环节,一步步找出根因并解决问题,以此提升研发安全效果。
在这里插入图片描述
奇安信产品安全高级经理 武鑫

04 逻辑越权风险治理实践

近年来,随着企业安全水位不断提升,通用漏洞及组件配置类漏洞等可通过各扫描产品前置左移,实现自动化检测及治理。但在逻辑漏洞中,由于逻辑漏洞与业务强相关,传统扫描思路难以适应复杂的业务逻辑和不同的业务场景,扫描工具无法理解实际业务带来大量的误报,导致逻辑漏洞风险一直无法有效收敛。京东应用安全产品负责人Stefan,结合京东在治理逻辑越权风险实践经验,为大家分享如何在多元化业务场景中,通过结合联动多个扫描产品并借助大模型辅助来高精度发现逻辑越权类风险,同时为大家分享在实际业务推广过程中的难点及治理思路。

在这里插入图片描述
京东应用安全产品负责人 Stefan

05 软件供应链安全建设实践

随着软件供应链成为企业软件应用开发新模式,随之也会带来新的安全威胁,要求企业应用安全必须进行思路变革。墨菲安全创始人 & CEO 章华鹏结合墨菲安全在头部互联网、金融、运营商等行业企业的软件供应链安全实践,于会上分享了墨菲安全对于企业软件供应链安全治理思路,并针对将供应链安全能力融合进软件应用生命周期普遍存在的六大关键难点及挑战给出了具体的应对方案,助力企业软件供应链安全建设。

在这里插入图片描述

墨菲安全创始人 & CEO 章华鹏

06多模态大模型安全前沿进展

多模态大模型被视为通往AGI(通用人工智能)的必由之路,随着人工智能技术的飞速发展,多模态大模型的安全风险受到了广泛关注。北京航空航天大学复杂关键软件环境全国重点实验室人工智能博士生应宗浩概述了多模态大模型的必要背景知识,随后以企业蓝军攻击视角,从对抗攻击、越狱攻击、后门攻击三方面介绍了近期的前沿进展,并结合针对国内外流行的商业多模态大模型的越狱攻击测评示例,以期安全社区能够加强相关防护,促进人工智能技术可靠可信发展。

在这里插入图片描述
北京航空航天大学人工智能博士生 应宗浩

沙龙将持续聚焦企业安全建设,如:攻防渗透、应急响应、企业零信任架构、数据安全与隐私保护、邮件安全等当下企业安全的热点话题持续展开探讨,根据不同话题,百度安全“度安讲”安全技术沙龙将采取“闭门+公开”相结合的形式,敬请期待!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/23671.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Git命令行

文章目录 初始化配置仓库 其实Idea里自带的命令能满足工作多数场景,但也会使思维受限,总结下Git里常用的命令行对Idea进行补充 初始化配置 # 查看git配置(重点关注账号和邮箱) git config --list# 设置全局姓名和邮箱 git config…

不同类型红酒的保存期限与品质变化

云仓酒庄雷盛红酒,以其多样的品种和与众不同的风味吸引了无数葡萄酒爱好者。然而,不同类型和风格的红酒在保存过程中,其期限和品质变化也各不相同。本文将深入探讨这个问题,以帮助消费者更好地理解和欣赏云仓酒庄雷盛红酒的多样性…

【Linux】Linux环境基础开发工具_5

文章目录 四、Linux环境基础开发工具Linux小程序---进度条git 未完待续 四、Linux环境基础开发工具 Linux小程序—进度条 上篇我们实现了一个简易的进度条,不过那仅仅是测试,接下来我们真正的正式实现一个进度条。 接着编写 processbar.c 文件 然…

web刷题记录(4)

[GKCTF 2020]cve版签到 进来应该是给了个提示了,就是要以.ctfhub.com结尾 还有一个超链接,这题的ssrf还是挺明显的,抓包看看 发现回显里面有提示 说是和本地有关,那么也就是说,要访问127.0.0.1,大概意思就…

ModuleNotFoundError: No module named ‘torch_scatter‘

大概率是cuda的版本问题,看了很多解决方案,都不舒服。 直到看到这篇 新建一个名字叫torch_scatter.py的脚本,然后就可以调用本地的脚本了。 #torch_scatter.py import torch from typing import Optionaldef scatter_sum(src: torch.Tenso…

【POSIX】运行时so库动态加载

运行时可以自己自定义so库的动态加载框架&#xff0c;主动去加载某些库&#xff0c;并调用其中的某些方法 首先写一些方法&#xff0c;并生成so库 // hello.cpp#include <iostream>/*使用 nm 命令查看 so 库的内容 */// 1. 使用extern // dlsym(handle, "hello&qu…

镜头效果技术在AI绘画中的革新作用

随着人工智能技术的飞速发展&#xff0c;AI绘画已经成为艺术与科技交汇的前沿领域。在这一领域中&#xff0c;镜头效果技术的应用不仅为艺术家和设计师们提供了全新的创作工具&#xff0c;更在艺术创作中扮演了革命性的角色。本文将深入探讨镜头效果技术在AI绘画中的应用&#…

npm发布自己的插件包指南

引言 npm&#xff08;Node Package Manager&#xff09;是 JavaScript 和 Node.js 开发中最流行的包管理工具。它允许开发者轻松地分享和重用代码&#xff0c;极大地提高了开发效率。发布自己的 npm 插件包&#xff0c;不仅可以提高代码的复用性&#xff0c;还可以分享你的工作…

Visual Studio和BOM历史渊源

今天看文档无意间碰到了微软对编码格式解释&#xff0c;如下链接&#xff1a; Understanding file encoding in VS Code and PowerShell - PowerShell | Microsoft LearnConfigure file encoding in VS Code and PowerShellhttps://learn.microsoft.com/en-us/powershell/scrip…

【机器学习】使用Stable Diffusion实现潜在空间搜索

1、引言 1.1 潜在空间的概念 潜在空间&#xff08;Latent Space&#xff09;是在机器学习和深度学习中一个重要的概念&#xff0c;它指的是用于表示数据的一种低维空间。这个空间编码了数据中包含的所有有用信息的压缩表示&#xff0c;通常比原始数据空间的维数更低&#xff…

QT快速下载

去QT官网之后&#xff0c;如下图所示 比如要下载qt-opensource-windows-x86-5.14.2.exe&#xff0c;进入5.14对应的文件夹&#xff0c;找到对应的版本 点击Details&#xff0c; 下载对应的种子&#xff0c;然后通过迅雷下载 个人实测&#xff0c;家庭网络平均18M的速率

vs2022专业版永久密钥

vs2022专业版永久密钥&#xff1a; vs2022专业版永久密钥&#xff1a; Visual Studio 2022 Enterprise&#xff1a;VHF9H-NXBBB-638P6-6JHCY-88JWH Visual Studio 2022 Professional&#xff1a;TD244-P4NB7-YQ6XK-Y8MMM-YWV2J

numpy的基本使用

一、NumPy 的主要特性和功能&#xff1a; 多维数组对象&#xff08;ndarray&#xff09;&#xff1a; NumPy 的核心是 ndarray 对象&#xff0c;它是一个多维数组&#xff0c;可以存储相同类型的元素。ndarray 对象具有固定大小&#xff0c;支持矢量化运算和广播功能&#xff0…

总结【GetHub的WebAPI,ASSET_ID】,【Linux的jq命令】(草稿版)

目录 1.介绍一下github中的 asset_id 2. GitHub 的 asset_id相关操作 2.1.获取特定 repository 的 release 列表&#xff1a; 2.2.获取特定 release 中的 asset 列表&#xff0c;并找到 asset_id&#xff1a; 2.3.使用ASSET_ID获取资材 3.返回的 assets 的信息 是什么样样…

C# —— 二维数组

C#当中 多维数组 又称为矩形数组,最简单的多维数组是二维数组,可以被认为带有x行和y列的表格 二维数组的定义: 不是ArrayList, ArrayList没有多维情况, 多维数组指的是Array 静态定义方式 类型[,]名字 new 类型[行数,列数] int[,]ints new int[3, 4];//3行4列的数据 strin…

使用 OKhttp3 实现 智普AI ChatGLM HTTP 调用(SSE、异步、同步)

SSE 调用 SSE&#xff08;Sever-Sent Event&#xff09;&#xff0c;就是浏览器向服务器发送一个HTTP请求&#xff0c;保持长连接&#xff0c;服务器不断单向地向浏览器推送“信息”&#xff08;message&#xff09;&#xff0c;这么做是为了节约网络资源&#xff0c;不用一直…

批量探测内网存活主机的原理

批量探测内网存活主机是网络安全领域中的一个常见任务&#xff0c;它可以用于网络管理、安全评估或者入侵检测等场景。探测内网存活主机的原理通常基于以下几种技术&#xff1a; ICMP协议&#xff08;Ping扫描&#xff09;&#xff1a; ICMP&#xff08;Internet Control Mess…

Datetime,一个 Python 的时间掌控者

大家好&#xff01;我是爱摸鱼的小鸿&#xff0c;关注我&#xff0c;收看每期的编程干货。 一个简单的库&#xff0c;也许能够开启我们的智慧之门&#xff0c; 一个普通的方法&#xff0c;也许能在危急时刻挽救我们于水深火热&#xff0c; 一个新颖的思维方式&#xff0c;也许能…

为什么特殊学校需要配备情景互动康复训练系统

情景互动康复训练系统对于特殊学校来说&#xff0c;确实是一项必备的教育和康复工具。该系统通过虚拟现实&#xff08;VR&#xff09;或增强现实&#xff08;AR&#xff09;技术&#xff0c;为特殊儿童提供了一个沉浸式的、互动式的康复训练环境&#xff0c;有助于他们在身体、…

精选网络安全书单:打造数字世界的钢铁长城!

目录 1.前言 2.书单推荐 2.1. 《内网渗透实战攻略》 2.2. 《Kali Linux高级渗透测试&#xff08;原书第4版&#xff09;》 2.3. 《CTF那些事儿》 2.4. 《权限提升技术&#xff1a;攻防实战与技巧》 2.5. 《数字政府网络安全合规性建设指南&#xff1a;密码应用与数据安全…