度安讲 | 第二期「安全左移·业务护航」技术沙龙成功举办

在这里插入图片描述
当下,“安全左移”作为落地DevSecOps的重要实践之一,已在业界达成共识。DevSecOps作为一种集开发、安全、运维于一体的软件开发和运营模式,强调在敏捷交付下,“安全”在软件开发生命周期的全覆盖贯穿和核心位置。所谓“安全左移”,与软件开发生命周期密切相关,即在软件开发生命周期的早期,也就是在计划、编码阶段安全措施的介入,旨在从上游源头把控“安全”这一软件交付的底线与基石,降低后期的修复成本与风险。

近年来,各类供应链攻击事件呈现爆发增长的态势,由此衍生的蝴蝶效应再次凸显了“安全左移”在DevSecOps模式中的重要性。不仅如此,考虑到网络安全体系的庞杂,黑产技术对抗逐年升级,对企业的纵深防御能力和安全合规提出更高的要求,不止于软件开发,“安全左移”正在落地应用于数据安全、大模型安全、智能网联车安全等各类场景。在此背景下,百度安全第二期「度安讲」安全技术沙龙日前在北京举办,来自百度、奇安信、小米、京东、墨菲安全、北京航空航天大学等企业机构的多位安全专家汇聚一堂,聚焦安全左移和业务安全保障相关主题进行深入探讨,共同探索并丰富安全左移的理论和实践。

在这里插入图片描述度安讲 | 第二期「安全左移·业务护航」技术沙龙
在这里插入图片描述
BSRC&Comate展台

百度安全副总经理顾孔希发表致辞,并结合基础安全业务的发展沿革,分享了对“安全左移”的看法,“基础安全从最原始的零安全荒漠时代,到现在我们谈的安全的内生、原生、左移、切面等等安全理念词汇,总共经历了四个时代。" 基础安全发展到如今,大家的共同点都是离业务越来越近,与业务耦合的越来越紧密,通过安全为业务护航。他表示,提升业务的安全认知以及在安全中的参与度、建设对业务好用的安全工具是这一阶段的重点任务。
在这里插入图片描述百度安全副总经理 顾孔

01 Comate智能代码助手安全实践

与会,百度研发安全负责人陈长林分享了百度智能代码助手Baidu Comate的安全实践。生成式AI正在为软件研发领域带来了前所未有的机遇,大模型的理解、生成、逻辑、记忆能力同软件研发领域相结合,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。围绕 “AI+需求”、“AI+编码”、“AI+测试发布”的三大关键流程,陈长林分享了Baidu Comate在企业内部推进“安全左移”的实践经验。Comate不仅能够帮助工程师进行研发提效,还能够帮助工程师发现并快速解决安全问题,让业务代码更加安全。同时通过安全增强模式、数据脱敏保护机制,让Comate产品本身更加安全可靠,让用户用的更放心。
在这里插入图片描述
百度 研发安全负责人 陈长林

02 智能网联汽车的漏洞挖掘与安全建设实践

随着网联化和智能化技术在汽车领域的快速发展,汽车也愈发信息化,这使得网络安全问题变得日趋重要。小米智能终端安全实验室安全研究员马琪灿,基于小米安全团队在智能网联汽车安全研究领域的深厚积累,通过剖析真实的漏洞挖掘案例,阐述了汽车攻击面的构成以及相应的分析方法,并分享了小米在汽车自动化安全能力建设方面的实践经验,包含了智能网联汽车安全测试与合规评估系统的架构设计等重要内容。

在这里插入图片描述

小米智能终端安全实验室安全研究员 马琪灿

03 研发安全建设的最后一公里

奇安信产品安全高级经理,兼网络安全部蓝军负责人武鑫表示,SDL或DevSecOps已逐步在各大公司落地,但初步建成的效果并不是很好,比较明显的例子是SRC、红蓝对抗中发现经过安全测试的系统还存在高危漏洞。研发安全建设的最后一公里,也就是研发安全工作落地的最后关键环节,是需要大家对非自主发现的高危风险进行深度复盘剖析,下沉到研发体系、流程、规范、工具能力及人工测试的环节,一步步找出根因并解决问题,以此提升研发安全效果。
在这里插入图片描述
奇安信产品安全高级经理 武鑫

04 逻辑越权风险治理实践

近年来,随着企业安全水位不断提升,通用漏洞及组件配置类漏洞等可通过各扫描产品前置左移,实现自动化检测及治理。但在逻辑漏洞中,由于逻辑漏洞与业务强相关,传统扫描思路难以适应复杂的业务逻辑和不同的业务场景,扫描工具无法理解实际业务带来大量的误报,导致逻辑漏洞风险一直无法有效收敛。京东应用安全产品负责人Stefan,结合京东在治理逻辑越权风险实践经验,为大家分享如何在多元化业务场景中,通过结合联动多个扫描产品并借助大模型辅助来高精度发现逻辑越权类风险,同时为大家分享在实际业务推广过程中的难点及治理思路。

在这里插入图片描述
京东应用安全产品负责人 Stefan

05 软件供应链安全建设实践

随着软件供应链成为企业软件应用开发新模式,随之也会带来新的安全威胁,要求企业应用安全必须进行思路变革。墨菲安全创始人 & CEO 章华鹏结合墨菲安全在头部互联网、金融、运营商等行业企业的软件供应链安全实践,于会上分享了墨菲安全对于企业软件供应链安全治理思路,并针对将供应链安全能力融合进软件应用生命周期普遍存在的六大关键难点及挑战给出了具体的应对方案,助力企业软件供应链安全建设。

在这里插入图片描述

墨菲安全创始人 & CEO 章华鹏

06多模态大模型安全前沿进展

多模态大模型被视为通往AGI(通用人工智能)的必由之路,随着人工智能技术的飞速发展,多模态大模型的安全风险受到了广泛关注。北京航空航天大学复杂关键软件环境全国重点实验室人工智能博士生应宗浩概述了多模态大模型的必要背景知识,随后以企业蓝军攻击视角,从对抗攻击、越狱攻击、后门攻击三方面介绍了近期的前沿进展,并结合针对国内外流行的商业多模态大模型的越狱攻击测评示例,以期安全社区能够加强相关防护,促进人工智能技术可靠可信发展。

在这里插入图片描述
北京航空航天大学人工智能博士生 应宗浩

沙龙将持续聚焦企业安全建设,如:攻防渗透、应急响应、企业零信任架构、数据安全与隐私保护、邮件安全等当下企业安全的热点话题持续展开探讨,根据不同话题,百度安全“度安讲”安全技术沙龙将采取“闭门+公开”相结合的形式,敬请期待!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/23671.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

不同类型红酒的保存期限与品质变化

云仓酒庄雷盛红酒,以其多样的品种和与众不同的风味吸引了无数葡萄酒爱好者。然而,不同类型和风格的红酒在保存过程中,其期限和品质变化也各不相同。本文将深入探讨这个问题,以帮助消费者更好地理解和欣赏云仓酒庄雷盛红酒的多样性…

【Linux】Linux环境基础开发工具_5

文章目录 四、Linux环境基础开发工具Linux小程序---进度条git 未完待续 四、Linux环境基础开发工具 Linux小程序—进度条 上篇我们实现了一个简易的进度条,不过那仅仅是测试,接下来我们真正的正式实现一个进度条。 接着编写 processbar.c 文件 然…

web刷题记录(4)

[GKCTF 2020]cve版签到 进来应该是给了个提示了,就是要以.ctfhub.com结尾 还有一个超链接,这题的ssrf还是挺明显的,抓包看看 发现回显里面有提示 说是和本地有关,那么也就是说,要访问127.0.0.1,大概意思就…

镜头效果技术在AI绘画中的革新作用

随着人工智能技术的飞速发展,AI绘画已经成为艺术与科技交汇的前沿领域。在这一领域中,镜头效果技术的应用不仅为艺术家和设计师们提供了全新的创作工具,更在艺术创作中扮演了革命性的角色。本文将深入探讨镜头效果技术在AI绘画中的应用&#…

Visual Studio和BOM历史渊源

今天看文档无意间碰到了微软对编码格式解释,如下链接: Understanding file encoding in VS Code and PowerShell - PowerShell | Microsoft LearnConfigure file encoding in VS Code and PowerShellhttps://learn.microsoft.com/en-us/powershell/scrip…

【机器学习】使用Stable Diffusion实现潜在空间搜索

1、引言 1.1 潜在空间的概念 潜在空间(Latent Space)是在机器学习和深度学习中一个重要的概念,它指的是用于表示数据的一种低维空间。这个空间编码了数据中包含的所有有用信息的压缩表示,通常比原始数据空间的维数更低&#xff…

QT快速下载

去QT官网之后,如下图所示 比如要下载qt-opensource-windows-x86-5.14.2.exe,进入5.14对应的文件夹,找到对应的版本 点击Details, 下载对应的种子,然后通过迅雷下载 个人实测,家庭网络平均18M的速率

vs2022专业版永久密钥

vs2022专业版永久密钥: vs2022专业版永久密钥: Visual Studio 2022 Enterprise:VHF9H-NXBBB-638P6-6JHCY-88JWH Visual Studio 2022 Professional:TD244-P4NB7-YQ6XK-Y8MMM-YWV2J

numpy的基本使用

一、NumPy 的主要特性和功能: 多维数组对象(ndarray): NumPy 的核心是 ndarray 对象,它是一个多维数组,可以存储相同类型的元素。ndarray 对象具有固定大小,支持矢量化运算和广播功能&#xff0…

Datetime,一个 Python 的时间掌控者

大家好!我是爱摸鱼的小鸿,关注我,收看每期的编程干货。 一个简单的库,也许能够开启我们的智慧之门, 一个普通的方法,也许能在危急时刻挽救我们于水深火热, 一个新颖的思维方式,也许能…

精选网络安全书单:打造数字世界的钢铁长城!

目录 1.前言 2.书单推荐 2.1. 《内网渗透实战攻略》 2.2. 《Kali Linux高级渗透测试(原书第4版)》 2.3. 《CTF那些事儿》 2.4. 《权限提升技术:攻防实战与技巧》 2.5. 《数字政府网络安全合规性建设指南:密码应用与数据安全…

#01 Stable Diffusion基础入门:了解AI图像生成

文章目录 前言什么是Stable Diffusion?Stable Diffusion的工作原理如何使用Stable Diffusion?Stable Diffusion的应用场景结论 前言 在当今迅速发展的人工智能领域,AI图像生成技术以其独特的魅力吸引了广泛的关注。Stable Diffusion作为其中的一项前沿技术&#…

【Java毕业设计】基于JSP+SSM的物流管理系统

文章目录 目 录摘要ABSTRACT1 概述1.1 课题背景及意义1.2 国内外研究现状1.3 本课题主要工作 2 系统开发环境2.1 JSP技术2.2 JavaScript2.3 B/S结构2.4 HTML简介 3 系统分析3.1 可行性分析3.1.1 技术可行性3.1.2操作可行性3.1.3 经济可行性3.1.4 法律可行性 3.2系统流程设计3.2…

Python文档生成工具库之alabaster使用详解

概要 在编写文档时,美观和易读性是两个重要的方面。Sphinx 是一个广泛使用的文档生成工具,而 Alabaster 是 Sphinx 默认的主题。alabaster 主题以其简洁优雅的设计和易用的配置选项受到广大用户的欢迎。本文将详细介绍 alabaster 库,包括其安装方法、主要特性、基本和高级功…

Go实战 | 使用Go-Fiber采用分层架构搭建一个简单的Web服务

前言 📢博客主页:程序源⠀-CSDN博客 📢欢迎点赞👍收藏⭐留言📝如有错误敬请指正! 一、环境准备、示例介绍 Go语言安装,GoLand编辑器 这个示例实现了一个简单的待办事项(todo&#xf…

halo进阶-主题插件使用

开始捣鼓捣鼓halo,换换主题,加个页面 可参考:Halo 文档 安装/更新主题 主题如同壁纸,萝卜青菜各有所爱,大家按需更换即可; Halo好在一键更换主题,炒鸡方便。 安装/更新插件 此插件还扩展了插件…

【数据结构】C语言实现二叉树的基本操作——二叉树的遍历(先序遍历、中序遍历、后序遍历)

C语言实现二叉树的基本操作 导读一、二叉树的遍历二、先序遍历三、中序遍历四、后序遍历五、结点序列六、递归算法与非递归算法的转化结语 导读 大家好,很高兴又和大家见面啦!!! 通过前面的介绍,我们已经认识了二叉树…

1.6T模块与DSP技术的演进

近日,光通信行业市场机构LightCounting在市场报告中指出,去年的模块供应商已经展示了首批1.6T光学模块的风采,而今年,DSP供应商更是着眼于第二代1.6T模块设计的未来。这些前沿技术的突破,不仅代表了数据传输速度的飞跃…

三十九、openlayers官网示例Extent Interaction解析——在地图上绘制范围并获取数据

官网demo 地址: Extent Interaction 在openlayers中可以使用ExtentInteraction添加交互事件,配合shiftKeyOnly实现按住shift键绘制边界区域。 const map new Map({layers: [new TileLayer({source: new OSM(),}),],target: "map",view: new …

开源!过程控制与自动化系统

软件介绍 ProviewR是一个基于GPL许可的过程控制与自动化系统,最初由瑞典的Mandator和SSAB Oxelsund开发。作为一个成熟、集成且低成本的自动化解决方案,ProviewR在以Linux作为操作系统的标准PC上运行。该系统包含了顺序控制、调整、数据采集、通信、监控…