Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
vivo千镜安全实验室
Get the latest updates from vivo千镜安全实验室 directly as they happen.
Follow now 22 followers
Latest posts
Last updated 13 days ago
喜讯|vivo首席安全研究专家胡志远博士荣任ITU‑T SG17 WP4主席,主导2项AI安全国际标准成功立项
14 days ago
2025-04-22 18:00 广东 主导2项AI安全国际标准成功立项 4月8日-4月17日,国际电信联盟标准化局(ITU-T)第17研究组(SG17)在瑞士日内瓦召开全体会议。vivo首席安全研究专家胡志远博士担任国际电信联盟ITU - T SG17 WP4(Security of AI, Cloud...
vivo千镜安全实验室技术沙龙圆满落幕:共探安全攻防对抗前沿之道!
6 months ago
2024-11-20 12:01 广东 11月16日,vivo 千镜安全实验室于深圳湾万怡酒店成功举办 “安全攻防对抗专场”沙龙。 11月16日,vivo 千镜安全实验室于深圳湾万怡酒店成功举办 “安全攻防对抗专场”沙龙。本次邀请了vivo、复旦、DARKNAVY、小米、深信服等企业与高校的安全专家,吸引了众多业内人士前来,共同探讨安全攻防对抗领域的前沿技术与实际应用。精彩致辞vivo 首席安全官鲁京辉在开幕致辞中强调,安全攻防对抗是网络安全领域的关键核心。vivo 千镜安全实验室一直致力于为行业打造更多创新解决方案,并期望通过此次沙龙,促进业界同仁的深入交流与合作。vivo首席安全官-鲁京辉议题回顾01《探秘Android安全之盾:可信应用分析与漏洞挖掘》可信执行环境TEE在 Android...
安全攻防对抗专场深圳站倒计时3天!
6 months ago
2024-11-13 12:03 广东 vivo千镜安全实验室技术系列沙龙将于11月16日14:30在深圳湾万怡酒店线下举办“安全攻防对抗专场”。 点击“阅读原文”,即刻报名! 阅读原文 跳转微信打开
全是干货!2024 vivo千镜安全实验室技术沙龙报名开启
6 months ago
2024-11-04 12:00 广东 11月16日,“安全攻防对抗专场”不见不散!(文末有福利哦~) 为建立高效的对外沟通渠道,在获取安全相关的行业现状和未来趋势的同时,积极分享vivo最佳安全实践,以帮助企业在安全管理方面更好地把握机遇和迎接挑战。vivo千镜安全实验室技术系列沙龙将于11月16日14:30在深圳湾万怡酒店线下举办“安全攻防对抗专场”。我们将邀请来自vivo、复旦、DARKNAVY、小米、深信服的安全专家分享在安全攻防对抗的成果与经验,诚挚邀请您的参与,共同交流、共同探索。vivo千镜安全实验室技术沙龙11月16日14:30安全攻防对抗专场由于场地有限,想现场交流的同学长按识别下方二维码或点击文末“阅读原文”即可参与报名期待您的到来!议题抢先看探秘Android安全之盾:可信应用分析与漏洞挖掘议题嘉宾:张裕超 vivo千镜安全实验室攻防研究员议题简介:本议题围绕Android可信应用的漏洞挖掘展开讨论,说明研究可信应用的必要性,多角度分析CA-TA,并通过数个案例说明TA攻击面与利用,最后给出问题修复与安全防护提升建议。面向Cocos的快应用游戏违规广告分析框架议题嘉宾:洪赓 复旦大学计算机科学技术学院助理研究员议题简介:在小游戏生态系统中,有部分不法分子滥用广告机制,向用户展示令人厌烦的违规广告。本议题将介绍一种新颖的静态分析框架,可以通过解耦游戏引擎,实现跨语言回调等方式,建模来捕捉用户行为。深入解析iOS远程攻击链:安全机制的启示与思考议题嘉宾:李忠睿 DARKNAVY·深蓝安全研究员议题简介:本议题结合具体案例,针对iOS的远程攻击中远程代码执行、用户态防御绕过、内核提权和内核态防御绕过的四个阶段,对每个层次涉及的保护机制和攻击面展开进行介绍。热更新时代技术滥用背后的对抗议题嘉宾:周雨晴 vivo千镜安全实验室攻防研究员议题简介:热更新技术当前被运用于多种业务场景,本议题提出了一套热更新技术的检测方法,并分析了一些利用热更新技术违规的案例,揭秘对抗分析、加密、加固等技术手段。芯片安全那些不为人知的秘密议题嘉宾:尹小元 小米车联网安全高级专家议题简介:本议题将介绍目前国内在芯片安全测试面临着哪些问题,同时以国外芯片安全相关的后门事件、GeeKcon2024参赛项目作为背景,最终通过车规级芯片故障注入案例带大家了解芯片安全隐藏着哪些不为人知的秘密。红队实战技术趋势及对抗分析议题嘉宾:毛敏其 深信服深蓝攻防实验室负责人议题简介:本议题基于深蓝实验室历年攻防演练的攻击情况及多年的实战化攻防演练经验,以最新的攻击趋势为切入点,从排兵布阵、边界突破、内网对抗、武器制造、防守空白区等五大维度,解析红队构成,拆解攻击行为,剖析下一步整体红队进攻发展趋势。现场干货满满有兴趣的同学千万别错过! #...
全是干货!2024 vivo千镜安全实验室技术沙???报名开启
6 months ago
2024-11-04 12:00 广东 11月16日,“安全攻防对抗专场”不见不散!(文末有福利哦~) 为建立高效的对外沟通渠道,在获取安全相关的行业现状和未来趋势的同时,积极分享vivo最佳安全实践,以帮助企业在安全管理方面更好地把握机遇和迎接挑战。vivo千镜安全实验室技术系列沙龙将于11月16日14:30在深圳湾万怡酒店线下举办“安全攻防对抗专场”。我们将邀请来自vivo、复旦、DARKNAVY、小米、深信服的安全专家分享在安全攻防对抗的成果与经验,诚挚邀请您的参与,共同交流、共同探索。vivo千镜安全实验室技术沙龙11月16日14:30安全攻防对抗专场由于场地有限,想现场交流的同学长按识别下方二维码或点击文末“阅读原文”即可参与报名期待您的到来!议题抢先看探秘Android安全之盾:可信应用分析与漏洞挖掘议题嘉宾:张裕超 vivo千镜安全实验室攻防研究员议题简介:本议题围绕Android可信应用的漏洞挖掘展开讨论,说明研究可信应用的必要性,多角度分析CA-TA,并通过数个案例说明TA攻击面与利用,最后给出问题修复与安全防护提升建议。面向Cocos的快应用游戏违规广告分析框架议题嘉宾:洪赓 复旦大学计算机科学技术学院助理研究员议题简介:在小游戏生态系统中,有部分不法分子滥用广告机制,向用户展示令人厌烦的违规广告。本议题将介绍一种新颖的静态分析框架,可以通过解耦游戏引擎,实现跨语言回调等方式,建模来捕捉用户行为。深入解析iOS远程攻击链:安全机制的启示与思考议题嘉宾:李忠睿 DARKNAVY·深蓝安全研究员议题简介:本议题结合具体案例,针对iOS的远程攻击中远程代码执行、用户态防御绕过、内核提权和内核态防御绕过的四个阶段,对每个层次涉及的保护机制和攻击面展开进行介绍。热更新时代技术滥用背后的对抗议题嘉宾:周雨晴 vivo千镜安全实验室攻防研究员议题简介:热更新技术当前被运用于多种业务场景,本议题提出了一套热更新技术的检测方法,并分析了一些利用热更新技术违规的案例,揭秘对抗分析、加密、加固等技术手段。芯片安全那些不为人知的秘密议题嘉宾:尹小元 小米车联网安全高级专家议题简介:本议题将介绍目前国内在芯片安全测试面临着哪些问题,同时以国外芯片安全相关的后门事件、GeeKcon2024参赛项目作为背景,最终通过车规级芯片故障注入案例带大家了解芯片安全隐藏着哪些不为人知的秘密。红队实战技术趋势及对抗分析议题嘉宾:毛敏其 深信服深蓝攻防实验室负责人议题简介:本议题基于深蓝实验室历年攻防演练的攻击情况及多年的实战化攻防演练经验,以最新的攻击趋势为切入点,从排兵布阵、边界突破、内网对抗、武器制造、防守空白区等五大维度,解析红队构成,拆解攻击行为,剖析下一步整体红队进攻发展趋势。现场干货满满有兴趣的同学千万别错过! #...
全是干货!2024 vivo千镜安全实验室技术沙龙报名开启
6 months ago
2024-11-04 12:00 广东 11月16日,“安全攻防对抗专场”不见不散!(文末有福利哦~) 为建立高效的对外沟通渠道,在获取安全相关的行业现状和未来趋势的同时,积极分享vivo最佳安全实践,以帮助企业在安全管理方面更好地把握机遇和迎接挑战。vivo千镜安全实验室技术系列沙龙将于11月16日14:30在深圳湾万怡酒店线下举办“安全攻防对抗专场”。我们将邀请来自vivo、复旦、DARKNAVY、小米、深信服的安全专家分享在安全攻防对抗的成果与经验,诚挚邀请您的参与,共同交流、共同探索。vivo千镜安全实验室技术沙龙11月16日14:30安全攻防对抗专场由于场地有限,想现场交流的同学长按识别下方二维码或点击文末“阅读原文”即可参与报名期待您的到来!议题抢先看探秘Android安全之盾:可信应用分析与漏洞挖掘议题嘉宾:张裕超 vivo千镜安全实验室攻防研究员议题简介:本议题围绕Android可信应用的漏洞挖掘展开讨论,说明研究可信应用的必要性,多角度分析CA-TA,并通过数个案例说明TA攻击面与利用,最后给出问题修复与安全防护提升建议。面向Cocos的快应用游戏违规广告分析框架议题嘉宾:洪赓 复旦大学计算机科学技术学院助理研究员议题简介:在小游戏生态系统中,有部分不法分子滥用广告机制,向用户展示令人厌烦的违规广告。本议题将介绍一种新颖的静态分析框架,可以通过解耦游戏引擎,实现跨语言回调等方式,建模来捕捉用户行为。深入解析iOS远程攻击链:安全机制的启示与思考议题嘉宾:李忠睿 DARKNAVY·深蓝安全研究员议题简介:本议题结合具体案例,针对iOS的远程攻击中远程代码执行、用户态防御绕过、内核提权和内核态防御绕过的四个阶段,对每个层次涉及的保护机制和攻击面展开进行介绍。热更新时代技术滥用背后的对抗议题嘉宾:周雨晴 vivo千镜安全实验室攻防研究员议题简介:热更新技术当前被运用于多种业务场景,本议题提出了一套热更新技术的检测方法,并分析了一些利用热更新技术违规的案例,揭秘对抗分析、加密、加固等技术手段。芯片安全那些不为人知的秘密议题嘉宾:尹小元 小米车联网安全高级专家议题简介:本议题将介绍目前国内在芯片安全测试面临着哪些问题,同时以国外芯片安全相关的后门事件、GeeKcon2024参赛项目作为背景,最终通过车规级芯片故障注入案例带大家了解芯片安全隐藏着哪些不为人知的秘密。红队实战技术趋势及对抗分析议题嘉宾:毛敏其 深信服深蓝攻防实验室负责人议题简介:本议题基于深蓝实验室历年攻防演练的攻击情况及多年的实战化攻防演练经验,以最新的攻击趋势为切入点,从排兵布阵、边界突破、内网对抗、武器制造、防守空白区等五大维度,解析红队构成,拆解攻击行为,剖析下一步整体红队进攻发展趋势。现场干货满满有兴趣的同学千万别错过! #...
VDC安全与隐私会场专题解读六:基于AIGC的数据分类分级应用实践
6 months ago
2024-11-01 12:00 广东 随着人类社会从农业到工业再到当今数字经济的不断发展,以及大数据、 云计算、 AI等技术的日新月异,数据已经成为经济发展的新型生产要素,保障用户数据安全也成为安全行业中重要的研究课题。vivo安全工程师-曾志均数据分类分级治理数据安全不仅仅是单一的管理命题,而是一个需要体系化的治理工程。目前行业内常见的两种治理理论分别是DSMM 框架和数据安全治理(DSG)框架,不管哪种框架, 数据分类分级都是其中极为重要的一环。只有对数据进行了分类分级,建立了清晰的数据资产???账,才能为后续数据安全制定正确的治理策略、 精细化数据安全分类管控打下坚实的基础。因此,vivo参考行业标准,建立了数据分类分级流程。在资产梳理阶段,vivo基于现有统一的两大数据中台,对数据资产进行了全面、 准确的梳理;并且制定了《vivo 用户数据分类分级规范》 ,指导后续分类分级工作的开展;同时在实施数据分类分级阶段,vivo积极探索与实践AIGC在数据识别领域的应用,自研数据识别能力,助力海量数据分类分级落地。数据识别技术探索实践vivo的数据识别能力建设分为传统和智能化两个阶段。在传统阶段,数据识别系统包含2个核心服务,数据接入服务和数据识别服务。数据接入服务负责从数据中台同步各类数据库的元数据等信息,并完成对多源、...
VDC安全与隐私会场专题解读六:基于AIGC的数据分类分级应用实践
6 months ago
2024-11-01 12:00 广东 随着人类社会从农业到工业再到当今数字经济的不断发展,以及大数据、 云计算、 AI等技术的日新月异,数据已经成为经济发展的新型生产要素,保障用户数据安全也成为安全行业中重要的研究课题。vivo安全工程师-曾志均数据分类分级治理数据安全不仅仅是单一的管理命题,而是一个需要体系化的治理工程。目前行业内常见的两种治理理论分别是DSMM 框架和数据安全治理(DSG)框架,不管哪种框架, 数据分类分级都是其中极为重要的一环。只有对数据进行了分类分级,建立了清晰的数据资产台账,才能为后续数据安全制定正确的治理策略、 精细化数据安全分类管控打下坚实的基础。因此,vivo参考行业标准,建立了数据分类分级流程。在资产梳理阶段,vivo基于现有统一的两大数据中台,对数据资产进行了全面、 准确的梳理;并且制定了《vivo 用户数据分类分级规范》 ,指导后续分类分级工作的开展;同时在实施数据分类分级阶段,vivo积极探索与实践AIGC在数据识别领域的应用,自研数据识别能力,助力海量数据分类分级落地。数据识别技术探索实践vivo的数据识别能力建设分为传统和智能化两个阶段。在传统阶段,数据识别系统包含2个核心服务,数据接入服务和数据识别服务。数据接入服务负责从数据中台同步各类数据库的元数据等信息,并完成对多源、...
VDC安全与隐私会场专题解读五:AIGC新技术下安全工具的探索实践
6 months ago
2024-10-30 12:01 广东 拥抱AI,全面增强 vivo一直致力于构建覆盖全面、检测高效、效果显著的安全检测能力,以发现移动应用的安全与隐私风险,助力可信生态建设。vivo安全工具高级经理宣伟表示,今年vivo安全工具建设的核心思想是“拥抱AI,全面增强”。在2024 VDC安全与隐私会场上,宣伟从安全护航AIGC、AIGC赋能安全两方面阐述“拥抱AI,全面增强“的核心思想。01安全护航AIGC在安全护航AIGC方面,宣伟分享了vivo的最新技术创新成果——千镜大模型安全检测平台,其可以保障大模型输出内容的安全,以解决AIGC带来的安全合规方向的新挑战。vivo安全工具高级经理-宣伟为什么要建设大模型安全评测能力?AIGC横空出世,促进各行各业的变革,但AIGC大热的同时也引发新的安全合规问题。通过上图可知,黑客通过多变攻击手法,诱导大模型输出违规的内容,整个攻击过程相比传统攻击更加简单,影响更大。造成这一现象的主要原因如下:攻击方式多样:针对AIGC的攻击方法众多,如梯度攻击、进化攻击、演示攻击等,并且很多攻击是基于自然语言而发起的攻击,这使得攻击人群不仅限于专业的安全从业人员。大模型问题众多:众多周知,因训练数据的质量不高,大模型本身存在低质、幻觉、隐私、价值观等一系列问题。这就导致评测不充分的大模型比较容易输出高风险内容,比如容易输出包含涉政、涉黄、涉恐、涉暴等高风险的内容。风险易理解传播:传统安全问题或风险专业性很强,缺乏相关专业背景的消费者较难理解,传播范围也较小。但大模型输出的高险内容相交于传统安全问题,更容易被消费者理解和传播,影响会更大。最终可能导致业务下架,品牌受损。为规避这些风险需要建设自动化的大模型内容安全测评能力,提升大模型的安全性。以上这些问题的出现,都表示现阶段安全对AIGC的护航显得尤为重要。大模型安全评测常见的问题大模型安全测评技术复杂,面临的问题众多,主要面临:语料、效率、度量等三方面问题。① 语料方面问题:主要表现在数量少、覆盖低、质量差等方面,最终会导致测试结果片面或者不佳。② 效率方面问题:主要表现在语料库构建、毒性增强、结果标记等方面。以结果标记为例,对于判断大模型的回答是否符合应答、必答、拒答的要求,如果依靠人工标记,则效率非常低。③ 度量方面问题:主要体现在攻击差异、语言文化差异、监管法规更新变化等,导致度量标准难统一。例如因语言、文化的差异,大模型对政治、禁忌等侧重点也有所不同。构建千镜大模型安全检测平台千镜大模型安全检测平台从下到上分别是资源层、能力层、接入层。资源层:该层包含一系列核心数据,包括标签资源、数据集资源、大模型资源等。众多周知,在大模型时代,高质的数据是成功的关键,同样高质的测试集也是内容安全评测的关键。能力层:包括三大核心能力:毒性增强、会话构造、自动标注等。该层主要的任务是对高质的语料进行变异、构造,使的评测更接近实战,以暴露更多的问题。接入层:包括插件式服务、专业报告等。该层通过插件式的接入方式,大大提升大模型接入的效率,并通过专业的报告解读,使的用户可快速了解大模型的安全健康状态。千镜大模型安全检测平台已建成主要包括语料、攻击手法等方面的相关能力。语料方面,目前平台已集成高质量语料超过10W条,覆盖10大类300小类的标签。包含基础变异,进阶变异等10多类的攻击手法。整个平台通过高质量预料,丰富的攻击方法,高效的一键式检测,实现大模型内容评测更简单,内容更可控的目标。02AIGC赋能安全vivo不仅在安全赋能AIGC方面进行积极探索实践,在AIGC赋能安全,提升安全工具基础检测能力方面也做了进一步的尝试。在安全检测能力提升方面,由于静态代码检测能力是安全流程的基石,重要且不易,vivo结合AIGC的能力,助力更好的管控源码。静态代码检测痛点以及解决方案静态代码检测是安全流程的基础,可以在研发流程的早期阶段发现潜在的安全隐私问题,是安全左移的必备的能力。静态代码检测如此重要,但想做好可不容易。静态代码检测存在诸多问题,如何解决这些问题更好做到源码的管控,是vivo一直思考的。静态代码检测主要存在检测难,结果难,修复难三个方面的问题。为了较好的解决静态代码检测的痛点问题,vivo不断夯实基础能力,积极与三方进行合作。vivo与安势信息合作研究针对Android应用跨语言场景的静态分析能力,可检测现有分析工具无法检测的复杂漏洞场景,并为人工挖掘跨语言漏洞提供了自动化工具的支持,以解决检测难的问题。安势信息高级安全专家-陈泽远vivo利用AIGC的能力,增强AIGC对代码片段的理解,从而实现误报消减,代码修复的目标,以解决结果难,修复难的问题。基于AIGC架构下静态代码检测vivo将静态代码检测流程进行改造,从2个阶段(扫描阶段,报告阶段)增加(预处理阶段、消减阶段)到现在的4个阶段。AIGC重点在预处理阶段、消减阶段进行干预。在预处理阶段,将规则、方法调用链、代码片段等信息进行格式化处理,结合prompt工程,构造高质量的prompt;在消减阶段,将高质量的prompt和vivo代码大模型进行结合,给出代码片段是否存在安全风险的建议,以及相关的修复代码,最终将结果作为报告的内容展示给用户。通过AIGC优化后的静态代码检测代码片段,修复的准确率达80%以上,效率提升70%,且安全风险的误报大幅降低,平均降幅在40%以上,实现了代码修复更简单,误报更低的目标。未来,vivo将继续在更全工具链,更高效检测,更准确结果三方面努力,以提升安全工具能力,也欢迎更多合作伙伴一起共建可信生态。往期推荐:VDC安全与隐私会场专题解读四:AIGC安全挑战与对策VDC安全与隐私会场专题解读三:AI 赋能千镜可信生态VDC安全与隐私会场专题解读二:强化可信底座,护航智慧服务关注我们,了解更多安全内容! 跳转微信打开
VDC安全与隐私会场专题解读五:AIGC新技术下安全工具的探索实践
6 months ago
2024-10-30 12:01 广东 拥抱AI,全面增强 vivo一直致力于构建覆盖全面、检测高效、效果显著的安全检测能力,以发现移动应用的安全与隐私风险,助力可信生态建设。vivo安全工具高级经理宣伟表示,今年vivo安全工具建设的核心思想是“拥抱AI,全面增强”。在2024 VDC安全与隐私会场上,宣伟从安全护航AIGC、AIGC赋???安全两方面阐述“拥抱AI,全面增强“的核心思想。01安全护航AIGC在安全护航AIGC方面,宣伟分享了vivo的最新技术创新成果——千镜大模型安全检测平台,其可以保障大模型输出内容的安全,以解决AIGC带来的安全合规方向的新挑战。vivo安全工具高级经理-宣伟为什么要建设大模型安全评测能力?AIGC横空出世,促进各行各业的变革,但AIGC大热的同时也引发新的安全合规问题。通过上图可知,黑客通过多变攻击手法,诱导大模型输出违规的内容,整个攻击过程相比传统攻击更加简单,影响更大。造成这一现象的主要原因如下:攻击方式多样:针对AIGC的攻击方法众多,如梯度攻击、进化攻击、演示攻击等,并且很多攻击是基于自然语言而发起的攻击,这使得攻击人群不仅限于专业的安全从业人员。大模型问题众多:众多周知,因训练数据的质量不高,大模型本身存在低质、幻觉、隐私、价值观等一系列问题。这就导致评测不充分的大模型比较容易输出高风险内容,比如容易输出包含涉政、涉黄、涉恐、涉暴等高风险的内容。风险易理解传播:传统安全问题或风险专业性很强,缺乏相关专业背景的消费者较难理解,传播范围也较小。但大模型输出的高险内容相交于传统安全问题,更容易被消费者理解和传播,影响会更大。最终可能导致业务下架,品牌受损。为规避这些风险需要建设自动化的大模型内容安全测评能力,提升大模型的安全性。以上这些问题的出现,都表示现阶段安全对AIGC的护航显得尤为重要。大模型安全评测常见的问题大模型安全测评技术复杂,面临的问题众多,主要面临:语料、效率、度量等三方面问题。① 语料方面问题:主要表现在数量少、覆盖低、质量差等方面,最终会导致测试结果片面或者不佳。② 效率方面问题:主要表现在语料库构建、毒性增强、结果标记等方面。以结果标记为例,对于判断大模型的回答是否符合应答、必答、拒答的要求,如果依靠人工标记,则效率非常低。③ 度量方面问题:主要体现在攻击差异、语言文化差异、监管法规更新变化等,导致度量标准难统一。例如因语言、文化的差异,大模型对政治、禁忌等侧重点也有所不同。构建千镜大模型安全检测平台千镜大模型安全检测平台从下到上分别是资源层、能力层、接入层。资源层:该层包含一系列核心数据,包括标签资源、数据集资源、大模型资源等。众多周知,在大模型时代,高质的数据是成功的关键,同样高质的测试集也是内容安全评测的关键。能力层:包括三大核心能力:毒性增强、会话构造、自动标注等。该层主要的任务是对高质的语料进行变异、构造,使的评测更接近实战,以暴露更多的问题。接入层:包括插件式服务、专业报告等。???层通过插件式的接入方式,大大提升大模型接入的效率,并通过专业的报告解读,使的用户可快速了解大模型的安全健康状态。千镜大模型安全检测平台已建成主要包括语料、攻击手法等方面的相关能力。语料方面,目前平台已集成高质量语料超过10W条,覆盖10大类300小类的标签。包含基础变异,进阶变异等10多类的攻击手法。整个平台通过高质量预料,丰富的攻击方法,高效的一键式检测,实现大模型内容评测更简单,内容更可控的目标。02AIGC赋能安全vivo不仅在安全赋能AIGC方面进行积极探索实践,在AIGC赋能安全,提升安全工具基础检测能力方面也做了进一步的尝试。在安全检测能力提升方面,由???静态代码检测能力是安全流程的基石,重要且不易,vivo结合AIGC的能力,助力更好的管控源码。静态代码检测痛点以及解决方案静态代码检测是安全流程的基础,可以在研发流程的早期阶段发现潜在的安全隐私问题,是安全左移的必备的能力。静态代码检测如此重要,但想做好可不容易。静态代码检测存在诸多问题,如何解决这些问题更好做到源码的管控,是vivo一直思考的。静态代码检测主要存在检测难,结果难,修复难三个方面的问题。为了较好的解决静态代码检测的痛点问题,vivo不断夯实基础能力,积极与三方进行合作。vivo与安势信息合作研究针对Android应用跨语言场景的静态分析能力,可检测现有分析工具无法检测的复杂漏洞场景,并为人工挖掘跨语言漏洞提供了自动化工具的支持,以解决检测难的问题。安势信息高级安全专家-陈泽远vivo利用AIGC的能力,增强AIGC对代码片段的理解,从而实现误报消减,代码修复的目标,以解决结果难,修复难的问题。基于AIGC架构下静态代码检测vivo将静态代码检测流程进行改造,从2个阶段(扫描阶段,报告阶段)增加(预处理阶段、消减阶段)到现在的4个阶段。AIGC重点在预处理阶段、消减阶段进行干预。在预处理阶段,将规则、方法调用链、代码片段等信息进行格式化处理,结合prompt工程,构造高质量的prompt;在消减阶段,将高质量的prompt和vivo代码大模型进行结合,给出代码片段是否存在安全风险的建议,以及相关的修复代码,最终将结果作为报告的内容展示给用户。通过AIGC优化后的静态代码检测代码片段,修复的准确率达80%以上,效率提升70%,且安全风险的误报大幅降低,平均降幅在40%以上,实现了代码修复更简单,误报更低的目标。未来,vivo将继续在更全工具链,更高效检测,更准确结果三方面努力,以提升安全工具能力,也欢迎更多合作伙伴一起共建可信生态。往期推荐:VDC安全与隐私会场专题解读四:AIGC安全挑战与对策VDC安全与隐私会场专题解读三:AI 赋能千镜可信生态VDC安全与隐私会场专题解读二:强化可信底座,护航智慧服务关注我们,了解更多安全内容! 阅读原文 跳转微信打开