OpenCSG推出StarShip SecScan：AI驱动的软件安全革新

OpenCSG 导读

如今，IT 技术迅速发展，软件安全不仅是企业稳健运营的基础，更是整个社会经济体系安全的保障。加强软件安全，尤其是在开发阶段识别和修补漏洞，是企业必须重视的问题。国际数据公司（IDC）于近日发布的2024年V2版《全球网络安全支出指南》显示，2023年全球网络安全IT总投资规模达2,150亿美元，并预计到2028年将增长至3,732.9亿美元，五年复合增长率高达11.7%。

然而，传统软件漏洞扫描工具存在检测能力有限、误报率高、无法及时适应新型漏洞等问题。随着软件项目日益复杂，这些工具在识别深层次、隐蔽漏洞方面显得力不从心。同时，攻击者技术的不断进步，新类型的安全威胁不断出现，传统漏洞扫描工具的静态规则库难以跟上发展步伐。

在此背景下，OpenCSG推出 StarShip SecScan——基于大模型的软件安全防护方案，引领软件安全进入 AI 驱动的新时代！StarShip SecScan 利用 AI 大模型的能力，深入分析软件代码，准确识别潜在的安全威胁和漏洞，颠覆传统漏洞扫描模式。

三大特点

更精准： 深度理解代码逻辑，精准识别各类漏洞，误报率大幅降低。

更全面： 覆盖更广泛的漏洞类型，包括新型、复杂的未知漏洞。

更高效： 扫描速度提升数倍，轻松应对大规模、高频率的扫描需求。

四大功能

功能1：源代码安全漏洞审查

StarShip SecScan 可对项目源代码或具体代码变更进行安全扫描，能指出潜在问题所在的代码行或片段、问题严重级别，更重要的是，它还提供了针对检测到的问题的修复建议。全方位的扫描和修复建议，可以让开发团队快速识别并修复安全缺陷，提升软件的安全性能。

功能2：第三方依赖包安全审查

StarShip SecScan可对项目或者具体代码变更所引入的第三方包进行扫描，若有安全漏洞，SecScan会给出详细的问题描述和升级建议。

功能3：IDE侧的安全漏洞扫描

StarShip SecScan将安全扫描功能集成到主流的IDE开发环境中，开发人员可在软件开发早期阶段灵活选择扫描对象如单个文件、特定文件夹或整个项目代码库。对于单个文件扫描，StarShip SecScan 可即时返回结果；对于文件夹或项目扫描，完成后 IDE 侧会呈现扫描报告。

功能4：正式的安全报告

StarShip SecScan支持将扫描结果以Markdown的形式直接呈现到代码变更请求(MR)中，也可以导出PDF或者Json格式的完整报告。报告按验证级别由高到低来呈现问题描述、问题级别和问题修复建议等。

StarShip SecScan与传统 DevSecOps

从检测范围、检测方式和未知漏洞识别等9个方面对比 StarShip SecScan 与传统 DevSecOps，可看出 StarShip SecScan 更智能地识别漏洞，检索更全面，能发现未公开的安全漏洞，可智能修复漏洞，一键触发，自动生成报告，统一输出，易于理解，可灵活组织自定义规则，支持多种编程语言，降低成本的同时提高效率。

经典案例

某企业软件研发部门在项目发布前夕，分别采用传统的DevSecOps工具和基于LLM的StarShip SecScan对项目引入的第三方包和全部源代码进行安全漏洞扫描，共扫描750个文件。从扫描结果来看，StarShip SecScan较传统DevSecOps发现了更多的安全漏洞（216 vs. 92），关键漏洞数也大幅提升（71 vs. 7）。

注：上图(右)中提示的Critical问题，传统DevSecOps高于SecurityScan，经分析，主要原因是DevSecOps误报所致。

从扫描结果来看，SecScan误报率大大降低，漏洞更有效(71% vs. 8%)，对于传统工具发现的关键漏洞，SecScan 的提示中100%覆盖，同时，基于SecScan智能化的提供了部分风险点的修复建议，大幅降低漏洞修复时间， 有效的降低了安全风险。

安全是软件生命周期中不可或缺的一部分，StarShip SecScan提供了一种智能的安全解决方案，帮助企业提升软件安全标准，降低潜在风险，确保业务持续稳定运行。StarShip SecScan 在快速迭代中，将推出以下新功能：

• 智能修复安全漏洞

• 智能安全配置和策略管理，自定义安全策略等

• 智能威胁分析与欺诈检测

• 智能安全运营与智能狩猎

StarShip SecScan将成为企业级的智能安全解决方案，助力用户打造可信软件和可靠工作流！