AIGC將帶來(lái)新的安全挑戰(zhàn)，數(shù)智時(shí)代如何構(gòu)筑數(shù)據(jù)安全防線？

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2023-09-24 14:40:34   瀏覽：11905次  

作者：賈天榮 來(lái)源：IT時(shí)報(bào)

隨著5G智能終端飛速普及，移動(dòng)終端越來(lái)越多地進(jìn)入我們的工作和生活。手機(jī)所承載的數(shù)據(jù)量也越來(lái)越快，越來(lái)越多。在智慧生態(tài)構(gòu)筑的過(guò)程中，安全和隱私始終是一個(gè)繞不開(kāi)的話題。

近日，在上海舉行的“2023新思科技開(kāi)發(fā)者大會(huì)”上，OPPO終端安全領(lǐng)域總經(jīng)理王安宇透露，OPPO和益普索做的行業(yè)調(diào)查顯示，消費(fèi)者對(duì)于隱私保護(hù)和安全的訴求特別高，只有2%的消費(fèi)者用戶聲稱(chēng)不怎么關(guān)注安全隱私，剩下98%的用戶都更關(guān)注隱私和安全。

“我們能夠看到，國(guó)內(nèi)和海外的 APP的生態(tài)過(guò)程中，確實(shí)是有一些APP是有一定程度的讀取消費(fèi)者的隱私和數(shù)據(jù)。”王安宇表示，移動(dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全的風(fēng)險(xiǎn)和挑戰(zhàn)越來(lái)越大，也越來(lái)越復(fù)雜，他將數(shù)智時(shí)代的“智”總結(jié)為四種：從鍵盤(pán)交互到語(yǔ)音交互的“交互智能”，到涉及智能設(shè)備的“隨身智能”，以及“泛在智能”和“化身智能”，“在不同的場(chǎng)景里面，隱私保護(hù)和安全的要求是不一樣的。”

為此，長(zhǎng)期以來(lái)OPPO在整個(gè)安全體系和流程建設(shè)上，和國(guó)際權(quán)威的廠商展開(kāi)合作，共同構(gòu)筑整個(gè)移動(dòng)智能終端的安全體系和流程建設(shè)。“我們提出了‘可信’概念，并構(gòu)建了4層數(shù)字化的可信框架。從基礎(chǔ)層到能力層，到業(yè)務(wù)、APP、數(shù)據(jù)、整機(jī)、芯片，然后在最上層目標(biāo)是隱私、合規(guī)、透明，希望構(gòu)筑一種‘數(shù)字化的可信’。”

王安宇談到，從軟件的需求、到設(shè)計(jì)、實(shí)施、測(cè)試、發(fā)布的各個(gè)環(huán)節(jié)，OPPO都會(huì)引入業(yè)界的最佳實(shí)踐、工具和能力，構(gòu)筑OPPO的研發(fā)安全生命周期的流程和能力。“總體目標(biāo)，就是把所有的ICT行業(yè)，所有的企業(yè)，所做的安全和隱私的事，總結(jié)一句話，就是信息流的安全性防護(hù)和用戶隱私。”

新思科技中國(guó)區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛也表示，在如今大模型火熱的背景下，AIGC也帶來(lái)一些新的機(jī)會(huì)和挑戰(zhàn)。他提到，除了開(kāi)源帶來(lái)的風(fēng)險(xiǎn)，AI會(huì)對(duì)安全的檢測(cè)工具提出新的挑戰(zhàn)。“由AI生成的代碼，常見(jiàn)的、基礎(chǔ)性的風(fēng)險(xiǎn)可能不會(huì)再那么多了，但在發(fā)現(xiàn)更深層次的代碼安全問(wèn)題上，更要做好能力的積累以及工具化。”

付紅勛認(rèn)為，AIGC時(shí)代，數(shù)據(jù)安全與隱私保護(hù)將繼續(xù)成為熱點(diǎn)和趨勢(shì)，這對(duì)新思科技來(lái)說(shuō)也意味著新的機(jī)會(huì)，“新思科技更擅長(zhǎng)于做的是檢測(cè)深層次的代碼里的安全隱患或特殊的質(zhì)量隱患。我們不是做簡(jiǎn)單的代碼嗅探，另外，我們有一些能夠幫助客戶發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞的工具和服務(wù)，比如我們的DAST（動(dòng)態(tài)應(yīng)用安全測(cè)試）服務(wù)和Seeker。這些產(chǎn)品我認(rèn)為會(huì)是今后AIGC生成代碼的時(shí)代，普通的工具很難觸及到的。”

另一個(gè)機(jī)會(huì)在于，開(kāi)源代碼片段會(huì)不斷地加到AIGC生成的代碼里。“大模型的訓(xùn)練輸入，會(huì)變成一點(diǎn)一點(diǎn)的片段，可能沒(méi)有完整的引用某一大段代碼，但可能會(huì)運(yùn)用某個(gè)組件的某幾行，這些片段的檢測(cè)將會(huì)變得非常麻煩。這也正好是新思科技Black Duck非常著名的一個(gè)特性，就是代碼片段掃描。”

作為OPPO終端可信工程的行業(yè)伙伴，新思科技已經(jīng)連續(xù)三年榮膺OPPO合作伙伴類(lèi)大獎(jiǎng)，新思科技為OPPO提供了應(yīng)用安全管理產(chǎn)品和服務(wù)，包括軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估等，助力OPPO落實(shí)數(shù)字化可信工程。

據(jù)新思科技調(diào)研顯示，業(yè)界在當(dāng)前應(yīng)用安全（AppSec計(jì)劃）領(lǐng)域還存在“三低”和“兩難”在內(nèi)的諸多挑戰(zhàn)：“三低”是投資回報(bào)率比較低，對(duì)風(fēng)險(xiǎn)把控準(zhǔn)確率低，安全活動(dòng)速度低。

“兩難”則是安全策略難以統(tǒng)一做管理，以及難以聚焦到應(yīng)用里最關(guān)鍵的安全風(fēng)險(xiǎn)。為了應(yīng)對(duì)“三低”“兩難”，新思科技推出了自己的 ASPM的解決方案，即SRM（軟件風(fēng)險(xiǎn)管理平臺(tái)）。

付紅勛介紹，有了 SRM平臺(tái)，就可以實(shí)現(xiàn)AppSec計(jì)劃的“三化”和“兩快”：通過(guò)管理簡(jiǎn)化、風(fēng)險(xiǎn)狀態(tài)可視化、工作流程標(biāo)準(zhǔn)化，來(lái)快速確定風(fēng)險(xiǎn)優(yōu)先級(jí)、快速同步業(yè)界最佳AST能力。

另一方面，新思科技軟件質(zhì)量與安全部門(mén)與NowSecure落實(shí)戰(zhàn)略合作，推出自動(dòng)化連續(xù)移動(dòng)應(yīng)用安全測(cè)試(MAST)解決方案，旨在補(bǔ)充新思科技行業(yè)領(lǐng)先的托管MAST服務(wù)，通過(guò)對(duì)Android和iOS二進(jìn)制文件進(jìn)行快速、自動(dòng)化和語(yǔ)言化的靜態(tài)、動(dòng)態(tài)、交互式和API安全測(cè)試，提供廣泛的測(cè)試覆蓋率。此外，移動(dòng)應(yīng)用安全測(cè)試允許開(kāi)發(fā)和安全團(tuán)隊(duì)分析移動(dòng)應(yīng)用的組件，包括開(kāi)源組件、第三方軟件開(kāi)發(fā)工具包(SDK)以及可傳遞依賴(lài)項(xiàng)，并可將基于標(biāo)準(zhǔn)的自動(dòng)化安全測(cè)試集成到連續(xù)集成和連續(xù)交付/連續(xù)部署（CI/CD）管道。

贊助本站