AIGC将带来新的安全挑战,数智时代如何构筑数据安全防线?

2023-09-25 08:02:37 56

作者:贾天荣 来源:IT时报

随着5G智能终端飞速普及,移动终端越来越多地进入我们的工作和生活。手机所承载的数据量也越来越快,越来越多。在智慧生态构筑的过程中,安全和隐私始终是一个绕不开的话题。

近日,在上海举行的“2023新思科技开发者大会”上,OPPO终端安全领域总经理王安宇透露,OPPO和益普索做的行业调查显示,消费者对于隐私保护和安全的诉求特别高,只有2%的消费者用户声称不怎么关注安全隐私,剩下98%的用户都更关注隐私和安全。

“我们能够看到,国内和海外的 APP的生态过程中,确实是有一些APP是有一定程度的读取消费者的隐私和数据。”王安宇表示,移动互联网时代,数据安全的风险和挑战越来越大,也越来越复杂,他将数智时代的“智”总结为四种:从键盘交互到语音交互的“交互智能”,到涉及智能设备的“随身智能”,以及“泛在智能”和“化身智能”,“在不同的场景里面,隐私保护和安全的要求是不一样的。”

为此,长期以来OPPO在整个安全体系和流程建设上,和国际权威的厂商展开合作,共同构筑整个移动智能终端的安全体系和流程建设。“我们提出了‘可信’概念,并构建了4层数字化的可信框架。从基础层到能力层,到业务、APP、数据、整机、芯片,然后在最上层目标是隐私、合规、透明,希望构筑一种‘数字化的可信’。”

王安宇谈到,从软件的需求、到设计、实施、测试、发布的各个环节,OPPO都会引入业界的最佳实践、工具和能力,构筑OPPO的研发安全生命周期的流程和能力。“总体目标,就是把所有的ICT行业,所有的企业,所做的安全和隐私的事,总结一句话,就是信息流的安全性防护和用户隐私。”

新思科技中国区应用安全技术总监付红勋也表示,在如今大模型火热的背景下,AIGC也带来一些新的机会和挑战。他提到,除了开源带来的风险,AI会对安全的检测工具提出新的挑战。“由AI生成的代码,常见的、基础性的风险可能不会再那么多了,但在发现更深层次的代码安全问题上,更要做好能力的积累以及工具化。”

付红勋认为,AIGC时代,数据安全与隐私保护将继续成为热点和趋势,这对新思科技来说也意味着新的机会,“新思科技更擅长于做的是检测深层次的代码里的安全隐患或特殊的质量隐患。我们不是做简单的代码嗅探,另外,我们有一些能够帮助客户发现业务逻辑漏洞的工具和服务,比如我们的DAST(动态应用安全测试)服务和Seeker。这些产品我认为会是今后AIGC生成代码的时代,普通的工具很难触及到的。”

另一个机会在于,开源代码片段会不断地加到AIGC生成的代码里。“大模型的训练输入,会变成一点一点的片段,可能没有完整的引用某一大段代码,但可能会运用某个组件的某几行,这些片段的检测将会变得非常麻烦。这也正好是新思科技Black Duck非常著名的一个特性,就是代码片段扫描。”

作为OPPO终端可信工程的行业伙伴,新思科技已经连续三年荣膺OPPO合作伙伴类大奖,新思科技为OPPO提供了应用安全管理产品和服务,包括软件安全构建成熟度模型(BSIMM)评估等,助力OPPO落实数字化可信工程。

据新思科技调研显示,业界在当前应用安全(AppSec计划)领域还存在“三低”和“两难”在内的诸多挑战:“三低”是投资回报率比较低,对风险把控准确率低,安全活动速度低。

“两难”则是安全策略难以统一做管理,以及难以聚焦到应用里最关键的安全风险。为了应对“三低”“两难”,新思科技推出了自己的 ASPM的解决方案,即SRM(软件风险管理平台)。

付红勋介绍,有了 SRM平台,就可以实现AppSec计划的“三化”和“两快”:通过管理简化、风险状态可视化、工作流程标准化,来快速确定风险优先级、快速同步业界最佳AST能力。

另一方面,新思科技软件质量与安全部门与NowSecure落实战略合作,推出自动化连续移动应用安全测试(MAST)解决方案,旨在补充新思科技行业领先的托管MAST服务,通过对Android和iOS二进制文件进行快速、自动化和语言化的静态、动态、交互式和API安全测试,提供广泛的测试覆盖率。此外,移动应用安全测试允许开发和安全团队分析移动应用的组件,包括开源组件、第三方软件开发工具包(SDK)以及可传递依赖项,并可将基于标准的自动化安全测试集成到连续集成和连续交付/连续部署(CI/CD)管道。

追加内容

本文作者可以追加内容哦 !