在敏捷开发与云原生架构主导的当下,企业代码迭代速度空前,多语言、多框架并存成为常态。然而,传统程序分析技术面对复杂场景的高成本、低覆盖、语义理解弱等瓶颈,正使代码安全成为制约业务高速发展的重要风险点——安全左移的迫切需求,亟需审计能力的智能化跃迁。
本届XCon2025大会中,蚂蚁集团静态代码扫描负责人 华巍将带来议题《基于YASA的智能代码审计能力》,全景展示蚂蚁集团如何融合统一程序分析底座(YASA)与大模型技术,打造革命性的智能审计方案,通过深度模拟安全专家的思维,赋予代码审计语义理解、反思与规划能力,并通过创新性的HOP框架保障结果的可靠性,以极低的安全成本实现变更风险的“高质、高效、高覆盖”管控,为企业在快节奏迭代中构筑坚不可摧的安全防线。
议题简介
互联网企业的变更和发布非常频繁,并且伴随着这些年的技术发展,多框架、多语言形式在各大企业都不少见,这对安全风险管控带来了巨大的挑战。传统程序分析面对多框架、多语言支持和维护成本巨大,对语意的理解能力不足又导致很多问题无法覆盖,而安全专家的资源有限,难以对所有变更都进行有效的风险评估与保障。
蚂蚁集团深耕于程序分析领域,建设了统一开放的程序分析底座—YASA来解决传统程序分析的大量痛点,结合大模型新技术大幅度提升传统程序分析的能力。模拟安全专家的思维方式来驱动大模型进行代码审计,在没有引入大量安全成本的情况下,大幅度增强变更和发布的审计覆盖率,在安全上为企业的高速发展保驾护航。
技术要点
基于统一多语言程序分析底座,结合智能化能力和HOP框架,打造稳定可靠的安全代码审计智能体,解决企业安全资源配比不充分的痛点。
技术创新点
程序分析与大模型的深度结合,充分释放大模型的潜力。
通过模拟安全专家审计的思维方式,突破传统程序分析的瓶颈,具备语意理解能力和反思、规划能力。
HOP框架提供了可靠的遵从性与强核验机制,让大模型的产出稳定可靠。
演讲人介绍
华巍,蚂蚁集团静态代码扫描负责人。负责蚂蚁集团的多款研发安全产品,致力于通过自动化技术为企业提供更可靠的研发安全保障和提高安全专家效能。具备丰富的静态程序分析领域的研究经验。
主导和参与了蚂蚁DevSecOps体系建设、蚂蚁智能化DevSecOps的技术研究和产品孵化等集团安全重要项目。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...