面向未来的DevSecOps：Kodem 如何用AI重塑应用安全

1. 面向未来的DevSecOps ： Kodem 刘永强如何用AI重塑应用安全

2. 目录 01 AI 重构 DevSecOps ：趋势与角色 02 “安全左移”和团队现实的差距和现实挑战 03 从“工具集合”走向“平台化的安全智能” 04 践行“安全平铺“将 AI 集成到 DevSecOps 佳实践的最

3.

4. 01 AI 重构 DevSecOps 趋势与角色

5. 传统安全治理原则 – 安全左移 Security Requirement Design Development Testing QA

6. 应用安全差距正在扩用随着代码规模扩大，漏洞积压激增。但开发人员的修复能效提升缓慢。

7. 供应链漏洞总体趋势年份新CVE(开源组件类) 增长率主要来源 2019 ≈ 5 200 — GitHub、Maven 2020 ≈ 6 800 +31 % NPM、PyPI 2021 ≈ 8 500 +25 % Log4j 等事件推动 2022 ≈ 9 700 +14 % PyPI 激增 2023 ≈ 11 100 +14 % 供应链攻击增多 2024 ≈ 13 600 +23 % AI 组件漏洞增加 2025 ≈ 15 000+ +10 – 12 % AI 依赖和容器镜像

8. 供应链漏洞总体趋势漏洞类型占比示例 RCE / 代码执行 21 % Apache Log4j、Fastjson 等供应链投毒 18 % npm event-stream、PyPI fake packages 信息泄露与配置错误 16 % Spring 环境变量泄露包版本污染 10 % Python module 替换攻击 AI 代码库滥用漏洞 ≈ 5% AI 模型加载、pickle 反序列化等漏洞修复时延（Time to Remediate, TTR） ➢ 2019 年平均 TTR: 120 天 ➢ 2025 年缩短至 80 天

9. 安全工作让开发人员负担更重 250 工程师 x 500K 平均年薪 ¥ 6.35M 附加的安全问题成本 x 5% 安全投入

10. 传统的 AppSec 清点资产代码、开源、容器和应用程序接口的零散漏洞列表和清单方法分诊人工汇总 - 根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通修复补救大量的修复工作与冲刺阶段的核心功能竞争。没有 “如何修复 ”或 “这是否是破坏性改动 ”的指导治理时间点式报告；干扰或减缓 SDLC

11. 打破传统的 AppSec 清点资产代码、开源、容器和应用程序接口的零散漏洞列表和清单方法 -- 打破孤岛，简化工作流程。修复补救分诊人工汇总 - 根据通用评分（如 CVSS）确定优先级。与工程部反复来回沟通清点资产一份针对代码 (SAST)、开放源代码 (SCA)、容器和应用程序接口的统一清单和漏洞列表 > 治理大量的修复工作与冲刺阶段的核心功能竞争。没有 “如何修复 ”或 “这是否是破坏性改动 ”的指导分诊根据运行时执行情况、可到达性、可利用性和实际攻击面进行自动分流时间点式报告；干扰或减缓 SDLC > 修复补救针对代码、直接和传递依赖关系的自助式 “最佳修复位置 ”和 “破坏性变更 ”指导 > 治理执行从源代码到生产的持续策略，涵盖容器、操作系统和内存保护

12. 02 “安全左移”和团队现实的差距和现实挑战

13. 打破关于应用安全的用些误区任何开源库集成都会引入超过 7 0 个额外的子依赖项。简单性误区应用安全仅靠静态扫描覆盖源码是不够的。应用运行时的依赖与配置层风险往往无人监控。健全性误区脱离上下文盲目信任准确性是一种谬误。超过90% 的警报属于误报，纯粹是在制造噪音。准确性误区安全工具从不会 “受到开发人员的喜爱“。工程人员欣赏的是准确性、深入的研究与专业的精神。协作性误区

14. “安全左移“ -- 现实挑战 1 安全工具无缝集成在 CI/CD 管道中 1 工具引入复杂、难以稳定运行，误报偏高 2 开发具备一定安全意识、自主修复漏洞 2 安全培训不足，安全知识薄弱 3 安全检测实时反馈、开发快速修复 3 检测延迟、漏洞数量巨大、修复能力有限 4 安全与开发目标统一（质量 + 安全） 4 优先级冲突：业务上线速度 > 安全合规 5 各部门协同 DevSecOps 文化已形成 5 安全与开发仍是“两条线”，沟通壁垒严重理想 VS 现实

15. 03 从“工具集合”走向“平台化的安全智能”

16. 全栈分析 –打破信息孤岛 SCA Container Scanner SAST Secret Scanning API Security ADR 应用安全代理框架 (Agentic Framework) 发现 Kodem 鉴渊代码分诊 APIs 漏洞违规计划服务容器仓库修复简化实际风险评估，漏斗验证攻击者视角跟踪报告治理合规性代码管理策略 SBOM CI 集成策略按需定制运行时策略上下文可观察与修复引擎(CORE) SCM 集成镜像仓库集成运行时集成

17. 上下文可观察性以及补救修复引擎从每个阶段收集 1 代码库依赖树跨层关联确认风险代码到运行时关联器风险核查 1 全面的依赖关系图分析，涵盖直接依赖关系和传递依赖关系。修复规划师 2 内存分析确认是否加载了有漏洞的代码/库。 3 全面覆盖应用层，包括操作系统依赖性和第三方依赖组件。 4 代码库与容器镜像之间的自动映射。 5 为发现的每个风险制定补救计划。方法步骤 4 可达性分析 5 静态代码分析事件聚合器二进制分析制品库基础镜像注册分类数据剖析器运行时 2 内存分析 3 操作系统依赖组件网络活动事件操作系统活动事件应用程序运行时行为分析器漏洞数据库上下文数据库

18. 运行时分析代理

19. 04 将 AI 集成到 DevSecOps 践行“安全平铺“ 的最佳实践

20. Kodem AI Agents -- 为安全治理赋能以 AI 驱动的上下文化分析，实现对复杂攻击链的精准防御。 AI Agents Triage copilot 用户上下文分诊 Virtual red team 修复助手助手 Remediation copilot 虚拟 SAST copilot 非结构化内容（社交媒体、论坛等）红队 Noise reduction 虚拟漏洞研究小组社区开源代码库 SAST 静态代码扫描助手内部研究私有漏洞库 Virtual vulnerabilities researcher 降低噪音公共漏洞数据库 LLMs 公共大模型 (OpenAI, Claude, Gemini) 训练 Fine-Tuned LLMs

21. 基于上下文的漏洞降噪 AI 自动分诊问题 – 整体降噪至4.6%, 高威胁降噪至 0.03% 覆盖所有应用资源根据严重性、工作量、影响和可利用性评估漏洞

22. 运行时-- 函数级分析确定易受影响的功能执行情况（function level）

23. 攻击连分析方法论 AppSec 防御 ≠ 简单检测漏洞分析探测攻击场景和意图，而不只是一堆漏洞专注实际的攻击面，并提供攻击者视角，重现红队战役。

24. SAST 源代码扫描范围：生成代码库中以下信息： • 代码仓库信息 • 代码漏洞 Code Weakness • 代码敏感信息 Exposed Secret

25. SCA 组件扫描范围：生成代码库中以下信息： • 代码仓库信息 • 代码仓库SBOM 清单， • 代码仓库三方漏洞清单 • 代码仓库三方License清单

26. 基础镜像分析范围： • 确定问题是否来自基础镜像，并识别基础镜像层次结构 • 为公共基础图像修复提供修复建议

27. AI 驱动的 DevSecOps 智能安全中枢

28. Kodem Kai AI 驱动的 DevSecOps 智能安全中枢智能风险识别自动优先级与分流智能修复与建议安全平铺与持续学习 • 基于大模型深入理解代码语义，自动识别漏洞与逻辑缺陷。 • 无需人工介入即可检测潜在的依赖风险与供应链隐患。 • 在开发阶段即时提示问题，避免漏洞流入生产环境。 • 综合评估漏洞的严重程度、影响范围与可利用性。 • 自动执行风险分流，帮助团队聚焦高价值修复。 • 动态调整策略，保证安全与效率的平衡。 • 生成可直接使用的修复建议代码段。 • 结合上下文解释风险来源与修复原理。 • 支持多种语言与框架，快速适配开发环境。 • 将安全能力嵌入 CI/CD ，全流程可追踪。 • Kai 持续学习历史修复案例，不断优化检测精度。 • 在不同环境中自适应安全策略，避免重复误报。精准自动修复主动预警平铺

29.

30. THANKS 大模型正在重新定义软件 Large Language Model Is Redefining The Software