OpenCSG 导读
近期,软件安全事件的频发引起了业界和公众的广泛关注。据媒体报道,一家互联网大厂的大模型训练项目遭遇了恶意攻击,一名实习生在内部植入了恶意代码,导致了该公司大量宝贵的训练成果失去可信度,不得不重新训练,造成了时间和资源的巨大损失。同样,一家知名汽车制造商也再次成为黑客攻击的目标,遭受了勒索软件的侵害。
这些事件提醒我们,在数字化和网络化日益加深的今天,软件安全不再是可有可无的附加项,而是每个企业和开发者亟需重视的核心任务。软件的任何环节的脆弱性都可能成为攻击者突破口,对用户隐私和企业运营等构成重大威胁。
随着以大模型为代表的人工智能技术的迅速发展,软件系统变得愈发复杂,安全防护的难度也随之增加。因此,加强软件安全防护机制,定期进行系统漏洞检测和修补,提升开发和运维人员的安全意识,以及构建全面的安全响应策略,对于保障企业和用户的利益至关重要。在此大背景下,OpenCSG在不久之前重磅发布了StarShip SecScan,利用 AI 大模型的能力,深入分析软件代码,准确识别潜在的安全威胁和漏洞,颠覆了传统漏洞扫描模式。
01 SecScan重塑大模型训练安全性
关于最近大模型训练所遭受的恶意攻击,媒体的分析和报道指出,攻击者主要通过利用transformers包的load_checkpoint方法实施入侵。StarShip SecScan能否成功识别此类潜在的安全风险代码,并提醒用户关注?下图展示了使用OpenCSG开发的IDE插件CodeSouler中的SecScan功能进行扫描的结果:
深入探讨这一问题,我们发现在transformers包的load_checkpoint方法中采用了pickle.load()方法执行反序列化操作。StarShip SecScan能否准确识别transformers包内部进一步调用的pickle.load()方法中的潜在安全问题?答案是肯定的。通过使用OpenCSG开发的IDE插件CodeSouler,其内置的SecScan功能对transformers包中的相关代码进行了扫描,成功揭示了潜在的安全漏洞风险。
对于其他形式的恶意操作,如随机中断系统进程、注入恶意代码、未授权数据访问、跨站脚本(XSS)、SQL注入等多种安全威胁,SecScan仍然能够有效识别并提示潜在的风险。辅助研发人员在代码开发阶段及时发现和修复这些漏洞,极大地提高了软件的安全性。
02 StarShip SecScan使用场景
软件安全漏洞扫描是确保软件系统安全性的重要手段,StarShip SecScan典型的应用场景包括但不限于以下几个方面:
Part.1 开发阶段的安全测试。 在代码编写和集成过程中,通过漏洞扫描工具检测代码中的潜在安全问题,如SQL注入、跨站脚本(XSS)等,识别潜在的安全漏洞和编码错误,以及识别Secret泄露等。
Part.2 第三方依赖组件和库的安全管理。 检查项目中使用的第三方库和组件是否存在已知的安全漏洞,及时更新或替换存在安全问题的组件。
Part.3 发布前的安全评估。 在软件发布前,进行全面的安全漏洞扫描,确保没有已知的安全漏洞。
Part.4 代替DevSecOps。 在CI/CD管道中集成安全扫描工具,每次代码提交或构建时自动进行安全检查,及时发现并修复新引入的安全问题,减少发布风险。
Part.5 合规性检查。 在安全审计或者合规性检查环节,验证软件的安全性和合规性。确保软件符合相关法律法规和行业标准,如GDPR、HIPAA等。
StarShip SecScan仍在快速迭代中,正在支持运行时安全监控, 应急响应和漏洞修复和应用程序渗透测试等场景。
03 传统DevSecOps 与 StarShip SecScan
与传统的DevSecOps相比, StarShip SecScan 更智能、更全面、更高效地发现安全漏洞,同时可以智能修复漏洞。下表从检测范围、检测方式和未知漏洞识别等9个方面对比 StarShip SecScan 与传统 DevSecOps。
04 StarShip SecScan:软件安全的新篇章
StarShip SecScan 融合了先进的AI大模型技术,对软件代码进行深入分析,能够精准地识别出潜在的安全威胁和漏洞,彻底颠覆了传统的漏洞扫描模式。这个工具不仅能对项目的源代码或具体的代码变动进行全面的安全扫描,而且能够精确指出问题存在于哪些代码行或片段及问题的严重程度。
更为重要的是,StarShip SecScan 还提供了对检测到的问题的具体修复建议。这种全方位的扫描及修复建议能够帮助开发团队迅速地识别并解决安全缺陷,大幅提升软件的安全性表现。