作者:新思科技软件质量与安全部门高级安全架构师杨国梁
安全已被视为应用程序软件开发中最具挑战性的一部分。无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战,在网络不法分子发起攻击前就提前做好防护,避免敏感数据被盗。
现在是数据时代,数据的储存和处理与软件密不可分。在当今的数字世界里,信息数据已经成为很多企业必不可少的经济生产工具。与此同时,提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失,并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施,所有的注意力会集中在补救工作以及损害控制上,那就为时已晚。
那么企业面临的主要安全挑战是什么呢?如何克服?根据新思科技的观察和从客户那里得到的反馈,企业面临的主要挑战有以下六种:
网络安全职位人才短缺,薪水很可观。在美国,信息安全分析师在2018年的平均年薪为98350美元,而收入最高的25%分析师的工资接近127000美元。而且,根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看,IT行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全,优秀的软件安全专才的薪资也会水涨船高。
黑客在不断琢磨访问企业系统最简单的方法。不幸地是,即使您一直在定期测试应用程序,但因为内部资源有限,缺乏时间、技能或工具,从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时,他们可能会无意间继承其技术债,其中包括安全漏洞和缺陷。
大多数公司不再遵循固定的发布周期。取而代之的是,持续集成和持续交付(CI/CD)已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响,应用程序安全的编码必须能够协调和解决。
企业不仅需要处理大量频率不同的应用程序发布计划,也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队,但是业务需求激增,那企业只能很仓促地测试并清理代码。或者更糟的是,企业只能在软件发布后打补丁。
每种安全测试工具都有不同的优势,没有哪一款工具可以捕获一切漏洞。如果预算和资源限制,企业只能使用一个或两个安全测试工具,那就可能会错过关键漏洞。而且,如果没有能力复现和确认问题,企业可能会在误报上花费大量时间。
应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现,而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。
面对以上软件安全挑战,企业可以做些什么?
部署软件安全计划不是一件简单的事情,有些企业会望而却步。幸运的是,还是有许多方法可以克服这些应用程序安全挑战。
比如,托管服务可以减轻安全负担,凭借按需提供的安全测试专业知识,识别业务重大漏洞,降低信息泄露风险。托管服务可以填补企业的安全资源缺口,根据当下需要选择所需的测试,包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。
确保软件安全任重道远,无论是购买工具进行检测还是使用专业的托管服务,新思科技都建议企业在软件创建之初做好防护,做到安全“左移”,并贯穿在整个软件开发生命周期。
好文章,需要你的鼓励
这项由加州大学圣地亚哥分校和微软研究院合作开发的REAL框架,通过程序分析反馈训练大型语言模型生成高质量代码。与传统方法不同,REAL采用强化学习将代码安全性和可维护性作为奖励信号,不依赖人工标注或特定规则。研究在多个数据集上的实验表明,REAL在保证功能正确性的同时显著提高了代码质量,有效解决了"即兴编程"中的安全漏洞和维护性问题,为AI辅助编程提供了新的范式。
加州大学伯克利分校与Meta FAIR研究团队开发了"Self-Challenging"框架,让大语言模型通过自己创建和解决任务来提升能力。该方法引入创新的"Code-as-Task"格式,包含指令、验证函数、示例解决方案和失败案例,确保生成的任务既可行又有挑战性。在工具计算、网页浏览、零售服务和航班预订四种环境测试中,仅使用自生成训练数据,Llama-3.1-8B模型性能提升了两倍多,证明AI可以通过自我挑战实现有效学习,减少对人类标注的依赖。
南洋理工大学与SenseTime Research合作提出了PoseFuse3D-KI,一种创新的人体中心关键帧插值框架。该方法将3D人体模型信息融入扩散过程,解决了现有技术在处理复杂人体动作时产生扭曲结果的问题。研究团队开发了专门的SMPL-X编码器直接从3D空间提取几何信息,并设计了融合网络将3D线索与2D姿态无缝整合。他们还构建了CHKI-Video数据集,包含2,614个视频片段及完整的人体标注。实验结果显示,PoseFuse3D-KI在PSNR上提升9%,LPIPS减少38%,显著超越现有方法。
这项研究提出了LongGuide算法,解决了大型语言模型在长文本生成任务中的局限性。研究团队发现,仅依靠上下文学习无法使模型充分掌握文本的语言和格式特性。LongGuide通过自动生成两种指导原则:度量指导原则和输出约束指导原则,显著提升了模型性能。在七种长文本生成任务中,该方法使开源和闭源模型的ROUGE-L评分平均提高约6%。LongGuide具有通用性强、易于学习、成本效益高等优点,为提升AI长文本生成能力提供了新方向。