AI新质生产力缔造新物种!悬镜安全重磅发布灵脉AI开发安全卫士4.0,为用户提供与代码安全专家能力相当、智能好用的AI开发安全助手,真正实现安全左移、降低软件风险及缺陷修复成本,提升企业代码安全治理能力。
AI赋能
新质生产力缔造新物种
1.AI智能缺陷审计
传统的开发安全工具依赖于预定义的规则或模板来识别代码中的缺陷,但这些方法在处理复杂的代码上下文时,会产生较高的误报率或漏报问题。
灵脉AI开发安全卫士4.0结合大语言模型,通过收集和处理代码库、历史缺陷数据、误报案例、知识库正确案例等数据,将代码的控制流和数据流信息(如函数调用关系、依赖关系、库函数文档等)构建成知识图谱,领先实现:
- 误报、漏报消减:深入理解代码的全局上下文,准确分析跨文件、跨函数的依赖关系;通过收集和学习新的代码样本、历史缺陷数据和误报案例,不断优化检测准确度,更精确地识别真实缺陷、缓解误报。
- 提高审计效率:通过自动化分析大规模代码库,减少了人工审计工作量,开发团队可以依赖灵脉SAST AI模型的分析建议,快速定位潜在缺陷、提升审计效率。
2.AI漏洞代码自动修复
灵脉SAST全新接入AI大模型智能算法:通过将用户代码进行分块并构建向量索引、建立用户代码向量库,基于RAG及LLM编排技术,AI大模型对需要修复的漏洞代码进行检索,快速精确地匹配并提供最适合当前代码上下文的修复方案及修复建议。
3.双重联动SCA+ 独家数字供应链安全情报
(1)悬镜独有的XSBOM数字供应链安全情报平台,依托悬镜安全团队强大的供应链管理监测能力和AI安全大数据云端分析能力,融合超100类渠道数据,并结合策略、AI、专家体系化运营以及风险评级模型,对全球数字供应链投毒情报、漏洞情报、停服断供情报进行实时动态监测与溯源分析;
(2)结合SCA生成的最新SBOM清单,将“与我有关”的安全事件信息第一时间进行预警,分析出影响的资产范围快速定位责任人;
(3)利用情报+AI智能修复建议,快速定位风险并进行风险处置,敏捷应对数字供应链安全威胁。
多模智能引擎
硬核技术驱动革新
1.全栈编译捕获
部分代码(尤其是经过复杂预处理、编译优化或特定编译器生成的代码)可能无法生成有效的AST(抽象语法树),导致开发安全工具无法检出这部分源代码缺陷。
编译捕获技术通过在编译过程中生成中间文件,捕捉在AST解析中遗漏的部分。截至目前,灵脉AI开发安全卫士4.0全面兼容Linux、MacOS、Windows三大平台,AMD64/ARM64处理器架构,支持超过15+种主流编译器,减少因开发环境、编译器差异造成的检测盲区。
2.智能污点追踪
污点追踪技术旨在追踪从不可信源头(例如用户输入)到潜在爆发点(例如数据库查询、执行系统命令等)的数据流,但在Python这类动态语言中,数据的动态类型和复杂的函数调用结构常常导致污点追踪的精度较低。
灵脉AI开发安全卫士4.0深度革新Python引擎的污点跟踪能力,能够更加准确地识别数据源头和爆发点位置(如数据库、文件操作、系统命令等),有效捕捉潜在漏洞;改进传播链路的可视化展示,用户能够更直观地理解污点数据如何在代码中流动,迅速定位漏洞源和影响点。
此外,用户还可以自定义可信任的污点输入源,通过将特定污点数据输入源标记为可信,引擎可以在分析过程中忽略这些数据源的输入,减少误报。
3.强化主流框架适配
每种编程语言和框架具有不同的语法、语义和结构特性,灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架,支持跨语言、跨框架的缺陷检测,无论开发团队使用何种技术栈,均能根据语言特性调整分析方法,确保准确识别安全缺陷和质量缺陷。
- Python:新增支持检测Django、Flask等框架;
- Java:支持Spring&Spring Boot、Hibernate、Apache Struts等;
- JavaScript:支持React/Preact、Angular、Vue.js、Svelte等;
- ......点击了解更多。
4.开发语言扩充
在30+主流开发语言基础上,灵脉AI开发安全卫士4.0新增支持COBOL、Perl语言:
- COBOL支撑全球大量金融交易系统,灵脉AI开发安全卫士4.0可为商业、金融和行政管理等领域的客户提供代码质量和代码安全检测支持。
- Perl广泛存在于运维脚本和遗留系统中,灵脉AI开发安全卫士4.0可帮助提升代码质量、减少安全风险。
强大规则知识库
全方位安全检测
1.加密算法缺陷扫描
错误或不安全的加密实践可能导致严重的安全事件,如账户、密码等敏感数据泄露。
灵脉AI开发安全卫士4.0新增多个检测规则,涵盖了对称加密、非对称加密和哈希算法等主流加密技术,能对这些加密算法的安全性和实现方式进行扫描,帮助用户识别潜在的加密弱点,确保系统的数据保护符合最佳安全实践、降低监管合规风险。
2.后门检测
在供应链攻击中,攻击者常将后门伪装成合法监控行为。灵脉AI开发安全卫士4.0新增多款语言敏感监控行为检测,可检出摄像头监控、键盘监控、鼠标监控、文件监控、文件注册表操作、访问恶意链接等敏感监控行为。
3.规则数量持续扩充
(1)Java:新增60+规则,涉及CERT等多个标准集;
(2)C/C++:新增60+规则,涉及CERT标准集;优化GJB-8114检测规则名称展示,增强可读性;
(3)Python:新增100+规则,涉及CWE、OWASP 2021/2017等多个标准集;
(4)Go:扩展10+规则,涉及CWE、OWASP等多个标准集。
人机交互优化
提升用户体验
- 缺陷审计标注:审计缺陷时,支持将缺陷标注为遗留问题。
- 缺陷列表:新增自定义缺陷视图,用户可根据个人需求配置缺陷展示视图。
- 集成管理-对接登录:细化LDAP配置。支持配置LDAP搜索范围和解析属性字段,满足用户各种配置对接场景。
- 代码仓库代码拉取性能优化,缩短相关检测类型任务的检测时长。
