5G 时代智能终端安全隐私问题成关键,用户关注度高,监管机构出台相关政策
随着5G通信技术的加速普及,我们日常工作、学习、生活的各种场景中移动终端的数量不断增加。随着AR/VR技术的发展,未来新型终端设备也将越来越普及。越来越多地走进我们的工作和生活场景。
在这些智能终端构建的庞大通信生态系统中,安全和隐私将是一个关键问题。 OPPO与益普索联合研究报告显示,《2021中国智能手机用户安全与隐私洞察报告》显示,98%的首次使用用户关心隐私与安全问题,其中80%的用户都关心隐私问题和安全问题并采取了保护措施,只有2%的受访者声称他们不太关注安全和隐私问题。
可见,大多数用户还是比较关心安全和隐私问题。目前,各个国家和地区的监管机构也针对手机等智能移动终端的隐私安全问题出台了相关法律,以保护用户隐私和数据安全。
然而,目前这些移动终端的应用安全仍然面临着许多当前的问题。首先,投资回报率低。即使投入高昂的工具、人员和维护成本,也无法完全保证软件安全;其次,软件风险判断困难。准确率低;第三,安全活动速度低,即为了保证安全而放慢产品交付速度,无法维持业务连续性;四是战略难以有效管理;五是重点任务难以落实。
针对上述“三低困境”问题,新思科技的软件风险管理平台(Risk,SRM)应用安全态势管理(ASPM)解决方案可以有效应对。新思科技中国应用安全技术总监付红勋表示,新思科技SRM具有三现代化、两快的优势,即管理简化、风险状态可视化、工作流程标准化、风险优先级快速划分、与业界最先进技术快速同步。出色的 AST 能力。
SRM 将智能策略驱动的编排和漏洞管理功能与 软件质量和安全经过市场验证的静态应用程序安全测试 (SAST) 和软件构成分析 (SCA) 引擎相结合,并为其他开源和商业 AST 工具提供强大的平台广泛的支持。它还帮助安全和开发团队简化、协调和优化他们的应用程序安全测试,并且可以跨项目、团队和应用程序安全测试 (AST) 工具实施。
然而,随着人工智能等技术的发展,移动终端的软件安全问题又增添了新的挑战。人工智能技术对于软件安全来说是一把“双刃剑”。一方面,工程师可以将人工智能技术应用于软件安全的预防和防御等步骤。另一方面,也可以帮助获取隐私数据。例如,开发了一个名为“”的系统,允许开发人员使用各种大规模语言模型,然后根据客户需求进行开发和使用。但一些研究人员发现,他们可以轻松突破这个人工智能系统为确保安全使用而设置的护栏。
另一方面,人工智能(AI)技术自出现以来发展迅速,在各个领域得到越来越多的应用,尤其是在软件代码生成方面,这可能会让未来的程序员失业。节省。一方面,这提高了软件开发的效率,但同时,也给软件安全带来了隐患。
付宏勋表示:“用AI编写代码将是未来的发展趋势,但也会对软件安全产生很大影响。”他认为主要有三个方面。一种是大模型,也就是说,如果使用大模型来编写代码,则必须先训练它并“喂”它代码。在这个训练过程中,许多“馈送”代码很可能是开源的。这些开源代码片段将混合在AIGC生成的代码中。这将会存在安全和合规风险。
根据新思科技2020年发布的《开源安全与风险分析报告》,在审查的1253个应用程序中,99%包含开源代码,其中75%的代码库存在漏洞。显然,这显示了开源代码的优势以及开源代码漏洞管理的不足。
傅红勋表示:“针对这个问题,的工具Duck®软件组件分析(SCA)可以很好地帮助解决这个问题。Duck是一个全面的SCA解决方案,用于管理应用程序的安全性、许可证合规性和代码质量风险在容器中使用开源。”
其次是代码的安全问题。付红勋表示:“只要有代码,就存在质量问题和安全风险。”用AI生成的代码实际上是用代码编写的代码。这可能会减少一些基本的质量或安全问题,但并不能解决所有的安全问题。或者质量问题,这也对安全检测工具提出了新的挑战。付红勋认为,未来需要有更好的更深层次的代码积累,实现检测工具。
针对这样的问题和挑战,也有办法应对,那就是它的SAST。付红勋表示:“它不仅检测代码中基本的编码质量和安全问题,还能更深层次地发现代码中存在的安全风险。”
第三点,回到大模型。付红勋说:“大模型的通用性也使其失去了特殊性。”每个企业的软件都有自己的业务流程,具有一定的独特性。也许业界可能需要更多地关注人工智能生成代码中的业务逻辑漏洞或问题,包括API层面的问题。
针对这个问题,的IAST(交互式应用安全测试)工具可以很好的处理。该工具有助于识别企业特定的 API 级漏洞。
OPPO终端安全领域总经理王安宇认为,人工智能大模型是一次快速的技术演进,可能会带来很多好处。他表示:“OPPO还是非常支持和鼓励使用AIGC和大模型来探索编写代码的可行性。”
他认为,一方面,AIGC可以帮助大幅提升代码质量和效率,甚至工程师的开发能力。另一方面,每个企业对于产品质量、工艺、放行都有一定的要求。为了更好地满足这些要求,需要通过自动化和智能化来提高效率和质量并节省时间。 AIGC 可以帮助改进整个流程。 ,然后生成可靠、值得信赖的软件产品。
无论未来技术如何发展,软件安全问题始终会随之而来,因为永远不会有完美的软件产品。即使未来人工智能技术发展到很高的水平,也总会存在缺陷。但只有发现问题、解决问题,才能不断推动技术和产品的发展。
结尾