默安科技 - 领先的云时代新安全体系构筑者

产品中心

解决方案

服务与支持

信创

默安智库

关于默安

0571-57890068

大模型重塑开发安全：默安科技雳鉴产品的智能化创新实践

2025-03-25

大模型引领开发安全产品新趋势

传统安全检测工具在检测能力与效率、覆盖范围、上下文感知和云原生适应性等方面存在明显瓶颈，难以有效应对日益复杂的安全挑战。默安科技安全专家认为，大模型技术的日益成熟将为开发安全产品带来突破性进展，其卓越的自然语言处理、知识推理和代码理解能力，正在重塑这一领域。大模型为开发安全产品带来的主要变化包括以下五大趋势。

检测精度优化：通过深度理解代码逻辑与数据流，显著降低误报率和漏报率。

深度分析能力：突破传统规则限制，识别复杂隐蔽漏洞。

智能修复方案：自动生成高质量修复代码，提供专业修复建议。

知识体系进化：依靠大模型能力，不断扩充安全知识库。

交互体验提升：通过自然语言交互降低技术门槛。

默安科技作为国内开发安全领域的先行者与领导者，积极探索大模型与开发安全相关技术的深度结合。本文将通过具体功能剖析大模型在雳鉴开发安全系列产品中的创新应用与实践成果。

雳鉴IAST中的大模型应用

雳鉴IAST作为一款国内领先的交互式安全检测产品，通过精准结合动态运行时信息，能够高效定位应用程序中的安全漏洞。大模型的引入使雳鉴IAST的检测能力和用户体验进一步得到提升。

数据流解释

传统IAST产品在展示漏洞数据流时，往往仅是简单列出源点、传播路径和汇点，对非安全专家而言难以理解。大模型的引入顺利解决了这一问题：

· 通过生动自然语言解释数据流的完整传播过程。

· 深入分析每个节点的具体作用及其在漏洞形成中的关键角色。

· 用通俗易懂的语言精确描述漏洞形成的原理机制。

生成漏洞验证payload

验证漏洞是否真实存在一直是安全测试的重要环节，但传统方法需要安全人员手动构造验证payload，费时费力且依赖专业知识。大模型基于原始请求包自动生成包含漏洞验证payload的新请求，能够智能调整payload以适应不同的应用场景和防护机制，提供多种验证方案，覆盖不同的攻击向量；也能够降低对安全专家的依赖，帮助普通开发人员进行有效的漏洞验证。

过滤函数识别

通过分析类方法，大模型可以判断是否为有效的过滤函数，从而降低漏洞的误报，并且能够一键添加过滤规则，降低人工工作量，提升检测效率。

逻辑漏洞识别

逻辑漏洞一直是安全检测的难点，大模型的引入将显著提升这一领域的检测能力，通过大模型可以理解业务逻辑，分析出请求和响应特征，判断是否为逻辑漏洞。

数据流误报识别

通过将漏洞信息和数据流上下文输入大模型，大模型能够基于其强大的分析能力，深入理解漏洞特征和上下文环境，从而准确判断出是否为误报。这种智能化的误报识别机制不仅能够大幅减少安全团队在人工判断上的精力投入，同时还能显著提升整体的检测效率，使得安全分析工作更加高效和精准。通过这种方式，雳鉴IAST可以帮助用户将有限的人力资源集中在更有价值的安全分析任务上。

雳鉴SCA中的大模型应用

软件成分分析(SCA)是识别和管理开源组件风险的重要工具。作为现代软件开发中不可或缺的安全保障手段，SCA能够全面扫描项目中使用的开源组件，识别其中存在的漏洞风险、许可证风险和过时组件等问题。通过引入大模型，雳鉴SCA能够实现更智能化的安全分析和修复建议。

组件替换建议

针对存在问题的开源组件，雳鉴SCA能够生成适合的组件替换建议、提供替换组件的使用示例以及分析替换可能带来的兼容性问题及解决方案。这些建议被内置到产品中，用户可以直接获取专业的组件替换指导，无需实时调用大模型API。

项目修复建议

针对项目中的组件风险，雳鉴SCA能够生成需要替换的组件清单及推荐版本，能够生成修复建议且支持一键修复能力，减少研发人员的工作量，提升修复效率。

雳鉴SAST中的大模型应用

静态应用安全测试(SAST)是一种在软件开发生命周期早期通过分析源代码来发现潜在安全漏洞的重要技术。传统的SAST工具主要依赖预定义的规则和模式匹配来识别常见的安全问题，但在处理复杂的代码逻辑和新型漏洞时往往力不从心，大模型的使用将为雳鉴SAST带来全新的能力。

漏洞修复代码生成

基于大模型强大的代码理解和生成能力，雳鉴SAST能够深入分析漏洞所在函数的代码逻辑结构，生成符合要求的修复代码。在修复过程中，大模型会严格保持原有业务逻辑的完整性和正确性，同时消除代码中潜在的安全风险，实现安全性与功能性的平衡。

漏洞误报判断

通过将漏洞信息、数据流信息和代码函数信息等关键数据输入大模型，雳鉴SAST能够深入分析代码上下文和执行路径，综合研判各类信息，准确判断漏洞是否为误报。同时大模型还能提供详尽的判断依据和专业的技术解释，帮助用户全面理解漏洞的具体情况。这种误报判断机制极大地提升了漏洞检测的准确性和效率。

智能规则编写

通过利用自然语言描述，大模型将能够自动解析安全需求，编写对应的白盒检测规则。雳鉴SAST在提升规则编写的效率同时，同时也降低了对安全专家的依赖程度。借助大模型强大的自然语言理解能力和代码生成能力，雳鉴SAST可以将复杂的安全需求转化为精准的检测规则，从而实现更加智能和高效的安全检测。

雳鉴威胁建模中的大模型应用

威胁建模是安全设计中不可或缺的战略环节，它能够帮助企业系统性地识别和评估潜在的安全威胁。随着大模型技术的深度融入，雳鉴威胁建模的智能化水平得到显著提升，在安全分析和风险评估方面发挥了前所未有的作用。

知识库丰富完善

雳鉴威胁建模利用大模型对安全知识库进行全面升级，完善现有知识库内容；通过持续不断地学习和优化，不仅可以丰富知识库的深度和广度，还能确保知识库始终保持与时俱进的先进性，从而为用户提供更加全面和准确的安全参考。

业务需求文档解析能力增强

雳鉴威胁建模通过大模型分析业务需求文档，利用大模型强大的自然语言处理能力可以准确理解文档内容，智能识别其中的安全相关需求，并将这些需求与知识库中已有的安全控制措施进行精准匹配，从而为业务安全保驾护航。雳鉴威胁建模在提高需求分析的效率同时，也确保了安全控制措施的全面性和准确性。

大模型正在重构开发安全领域的技术范式，在漏洞识别、自动修复、风险分析等多个环节均呈现出显著优势。雳鉴开发安全系列产品通过深度整合大模型技术，实现智能化的安全分析与修复方案，显著提升产品的用户体验，构建更加精准与智能的开发安全防护体系，目前已经在能源、金融、交通、电商等多个行业中应用并获得认可。随着不断的技术迭代与实践积累，默安科技将在开发安全技术领域持续深化大模型应用，为越来越多政企单位提供更加有效的开发安全保障。