2024年6月5日,以“AI驱动安全”为主题的2024全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会(简称“BCS大会”)在北京国家会议中心开幕。
BCS2024|“互联网创新发展”论坛
百度研发安全负责人陈长林出席互联网创新发展论坛并发表主题演讲。本场论坛以“智启安全,赋能未来”为主题,以“互联网行业新质生产力实践与探索”为中心议题,邀请众多知名互联网企业、研究机构、安全专家等业界代表出席,就网络安全技术创新与应用的最新成果与经验进行分享,共同探讨互联网行业新质生产力的实践路径与发展方向。当下,“人工智能+”已成为催生新质生产力的重要引擎,人工智能的发展方向在大模型的加持下,从“辨别式”走向了“生成式”。对于企业而言,一方面,需要持续深化大模型技术的创新与应用落地,另一方面,护航大模型及其应用平稳健康发展。在会上,陈长林分享了智能代码助手Baidu Comate基于百度文心大模型,在帮助工程师代码提效的同时,在企业内部推进“安全左移”的实践经验。
百度研发安全负责人 陈长林
当下,网络安全形势日趋严峻,各类供应链攻击事件所衍生的蝴蝶效应,凸显了DevSecOps将“安全”贯穿软件工程全生命周期的重要性。其中,安全左移作为落地DevSecOps的重要实践之一,旨在从研发上游把控“安全”这一软件交付的底线与基石,降低后期的修复成本与风险。然而,如何高效实施DevSecOps实践、在不干扰敏捷交付的前提下实现安全,是业界所关注的焦点。Baidu Comate 是百度基于⽂⼼大模型的智能代码助⼿,围绕 “AI+需求”、“AI+编码”、“AI+测试及发布”的三个关键研发流程,Comate将代码的理解、生成、优化和安全等能力无缝集成到DevOps研发流程的各个环节之中,不仅大幅提升代码的开发质量和效率,而且让研发安全转化为切实的交付结果。目前在百度内部,Baidu Comate生成的代码整体的采纳率达到了46%,新增代码中由Baidu Comate生成的比例达到了27%。据陈长林介绍,目前Comate的代码安全能力已在公司内部上线,在代码开发阶段实现漏洞检测——自动修复——全面覆盖的闭环,加速安全左移落地实践。具体而言,在安全风险发现方面,支持通用漏洞、供应链漏洞、AK/SK机密风险等三大类代码安全漏洞的一键扫描,帮助工程师快速发现代码中的安全风险;在漏洞修复方面,传统的漏洞修复需靠工程师手动修复,效率低,且质量无法保证,Baidu Comate以文心大模型 4.0 为基础,建设了代码漏洞自动修复能力,帮助工程师大幅提升漏洞修复效率;在能力覆盖方面,以帮助工程师研发提效为核心驱动,更易解决 IDE 安全管控覆盖问题。当前,百度内部已经将近85%的工程师在使用Baidu Comate,以提升开发效率和质量。根据 Gartner 最新报告数据,到 2028 年预计 75% 的企业软件工程师将使用智能代码助手。此外,配合研发流程安全风险卡位等机制,引导工程师使用 Baidu Comate 提前解决安全风险,且所有环节检测规则保持一致。
陈长林强调,生成式智能编码类助手在帮助工程师代码提效的同时,其自身的安全性、可靠性需要予以特别关注,其中的典型风险包括大模型生成代码的安全性、调用大模型服务时可能存在的代码敏感信息泄露、网络传输链路劫持、数据跨境传输等等。
据他介绍,在大模型生成代码安全方面,Baidu Comate目前通过安全增强模式,结合安全扫描能力,对生成代码的安全性形成双重保障。在代码敏感信息保护方面,Baidu Comate已基于数据传输全链路进行了保护,最大程度避免代码敏感信息泄露、服务被入侵、数据被恶意篡改等安全风险,让用户更放心。作为大模型创新应用的一个切面,Baidu Comate展示了大模型在软件研发领域的应用价值和发展潜力。展望未来,Baidu Comate将继续深化AI技术的创新与应用,为产业发展提供更加智能、高效、安全的软件研发生产力。关于Baidu Comate更多内容请点击文末阅读原文,或扫描二维码参与交流。