A2--刘永强--QEcon-面向未来的DevSecOps：Kodem 如何用AI重塑应用安全.pdf

1、刘永强Kodem 技术总监刘永强Kodem企业能效工程建设领域深耕十余年，资深DevSecOps专家顾问。架构师峰会，QCon、QECon、DevOpsSubmit、DevOpsDay等大会讲师。Gradle技术认证专家、JFrog制品库认证技术专家，华为MVP。目录CONTENTSAI 重构 DevSecOps：趋势与角色0102“安全左移”和团队现实的差距和现实挑战从“工具集合”走向“平台化的安全智能”03践行“安全平铺”将 AI 集成到DevSecOps 的最佳实践04PART 01AI 重构 DevSecOps：趋势与角色传统安全治理原则 安全左移SecurityRequirement

2、DesignDevelopmentTestingQA应安全差距正在扩随着代码规模扩大，漏洞积压激增，但开发人员的修复能效提升缓慢。供应链漏洞总体趋势年份年份新新CVE(开源组件类开源组件类)增长率增长率主要来源主要来源2019 5 200GitHub、Maven2020 6 800+31%NPM、PyPI2021 8 500+25%Log4j 等事件推动2022 9 700+14%PyPI 激增2023 11 100+14%供应链攻击增多2024 13 600+23%AI 组件漏洞增加2025 15 000+10 12%AI 依赖和容器镜像供应链漏洞总体趋势漏洞类型漏洞类型占比占比示例示例RC

3、E/代码执行代码执行21%Apache Log4j、Fastjson 等供应链投毒供应链投毒18%npm event-stream、PyPI fake packages信息泄露与配置错误信息泄露与配置错误16%Spring 环境变量泄露包版本污染包版本污染10%Python module 替换攻击AI代码库滥用漏洞代码库滥用漏洞 5%AI 模型加载、pickle 反序列化等漏洞修复时延（Time to Remediate,TTR）2019 年平均 TTR:120 天 2025 年缩短至 80 天安全工作让开发人员负担更重250工程师500K平均年薪5%安全投入xx6.35M附加的安全问题成本传

4、统的 AppSec 方法清点资产清点资产代码、开源、容器和应用程代码、开源、容器和应用程序接口的零散漏洞列表和清序接口的零散漏洞列表和清单单分诊分诊人工汇总-根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲刺阶段大量的修复工作与冲刺阶段的核心功能竞争。的核心功能竞争。没有没有“如何修复如何修复”或或“这是否这是否是破坏性改动是破坏性改动”的指导的指导治理治理时间点式报告；时间点式报告；干扰或减缓干扰或减缓SDLC打破传统的 AppSec 方法-打破孤岛，简化工作流程清点资产清点资产代码、开源、容器和代码、开源、容器和应用程序接口的零散应用程序接口的

5、零散漏洞列表和清单漏洞列表和清单分分诊诊人工汇总-根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通修复补救修复补救大量的修复工作与冲大量的修复工作与冲刺阶段的核心功能竞刺阶段的核心功能竞争争。没有。没有“如何修复如何修复”或或“这是否是破坏性这是否是破坏性改动改动”的指导的指导治理治理时间点式报告；时间点式报告；干扰或减缓干扰或减缓SDLC清点资产清点资产一份针对代码一份针对代码(SAST)、开放源代码开放源代码(SCA)、容器和应用程序接口容器和应用程序接口的统一清单和漏洞列表的统一清单和漏洞列表分诊分诊根据运行时执行情况、可到达性、可利用性和实际攻击面进行自动分流修复补救修复补

6、救针对代码、直接和传针对代码、直接和传递依赖关系的自助式递依赖关系的自助式“最佳修复位置最佳修复位置”和和“破坏性变更破坏性变更”指导指导治理治理执行从源代码到生产执行从源代码到生产的持续策略，涵盖容的持续策略，涵盖容器、操作系统和内存器、操作系统和内存保护保护PART 02“安全左移”和团队现实的差距和现实挑战打破关于应安全的些误区任 何 开 源 库 集 成都 会 引 超 过 7 0 个额 外 的 依 赖项。简 单 性 误 区应安全仅靠静态扫描覆盖源码是不够的。应运时的依赖与配置层险往往监控。健 全 性 误 区脱离上下盲信任准确性是种谬误。超过90%的