去哪儿网白盒漏洞 AI 运营实践
出处:
mp.weixin.qq.com
在当今快速发展的软件开发环境中,安全漏洞管理正在经历一场深刻的变革。随着 DevOps 理念的广泛普及,安全左移(Shift Left Security)已成为行业共识,企业纷纷将安全检测前置到开发流程的早期阶段,构建真正的 DevSecOps 体系,去哪儿网也基于微软提出的软件开发生命周期(SDLC)将安全左移嵌入 DevOps 流程中。在实际工程实践中,SAST 作为安全检测的核心能力,承担着漏洞发现的兜底责任,而 IAST 和 DAST 更多作为补充手段。这种架构设计使得 SAST 的运营质量直接决定了整个安全漏洞管理体系的有效性。安全开发生命周期(SDLC)中的白盒扫描环节一直面临着严峻挑战:业内比较优秀的静态应用安全测试(SAST)工具的准确率基本也维持在 60-70%左右,大量人力消耗在漏洞真实性确认上。大部分互联网公司安全团队在 SDLC 上的人力投入可达 40% 甚至更多。
