科技
设为书签Ctrl+D将本页面保存为书签,全面了解最新资讯,方便快捷。
业 界/ 互联网/ 行 业/ 通 信/ 数 码/ 手 机/ 平 板/ 笔记本/ 相 机
当前位置:科技 > 快讯 >

ChatGPT遇上CodeQL?深信服专家2023世界信息安全大会思路分享

ChatGPT遇上CodeQL?深信服专家2023世界信息安全大会思路分享
2023-03-24 16:00:01 来源:今报在线

传统用CodeQL进行漏洞挖掘,生成的结果误报较多,影响效率;那么,如果融入ChatGPT和RASP呢?

3月21日,由Informa Markets主办的2023 INSEC WORLD 世界信息安全大会以“聚焦安全 打造多元新格局“为主题,在西安国际会展中心会议楼拉开帷幕。作为一次汇聚各界意见领袖和技术专家的行业开年盛会,大会邀请到逾50位海内外优秀行业大咖分享安全实践经验及最新技术。

深信服创新研究院技术专家高勇杰受邀在「漏洞与攻防安全」分论坛中的进行演讲,分享议题《CodeQL漏洞挖掘之旅》。议题详细讲解CodeQL使用思路,以及一个区别于主流使用的利用CodeQL进行半自动化挖掘漏洞的方式。结合当下热门的chatGPT工具,分享了在CodeQL的使用和工作方式的新感悟,可以有效提升漏洞挖掘效率。

区别于主流使用CodeQL的漏洞挖掘方式

在演讲中,高勇杰使用SecExample开源靶场进行实际案例的演示,讲解不将CodeQL作为扫描工具使用,而是利用CodeQL的分析能力,协助进行代码审计,尽可能减少在代码审计时的工作量。

CodeQL+ChatGPT+RASP,实现高效自动化

高勇杰总结道,CodeQL目前还存在着一些缺陷,例如QL规则需要不断迭代、扫描结果存在误报等等,仅使用CodeQL也无法完成完整的代码审计流程闭环等问题。

针对以上问题,高勇杰也分享了一套借助ChatGPT与RASP技术的全自动化漏洞挖掘方式,不仅可解决QL规则的迭代、扫描规则误报问题,且完成了代码审计流程的闭环。

CodeQL做初步审计,提取关键代码块后交由ChatGPT验证,并基于RASP技术避免了POC生成不稳定对结果的影响,使结果更加稳定、可靠。最终实现高效、精准的漏洞挖掘。

深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究,推动技术创新变革与落地,拥有安全和云计算领域500+ 专利,实现攻击和检测技术的相互赋能,并及时把能力输入到业务线中,实现自身产品的迭代优化。未来,深信服千里目安全技术中心也将不断提高专业技术造诣,深度洞察网络安全威胁,持续为网络安全赋能。

关键词:

责任编辑:kj005

文章投诉热线:156 0057 2229  投诉邮箱:29132 36@qq.com
关键词:

首个!火山语音立项有声阅读标准,获CCSA工作组一致通过

2023-03-13 15:22:46首个!火山语音立项有声阅读标准,获CCSA工作组一致通过

供应布局,服务加速!浙江中力湖北生产基地正式投产

2023-02-21 17:34:36供应布局,服务加速!浙江中力湖北生产基地正式投产

usmile笑容加,重新定义口腔清洁

2023-02-20 14:45:57usmile笑容加,重新定义口腔清洁

春节红包封面大比拼,科技文化交相辉映,中国广电别具特色

2023-01-18 10:03:57春节红包封面大比拼,科技文化交相辉映,中国广电别具特色

SD-WAN是什么?详解三大优势及SD-WAN解决方案

2023-01-12 12:32:55SD-WAN是什么?详解三大优势及SD-WAN解决方案

打造操作系统“大生态” 筑牢数字经济底座 麒麟软件助推网信产业发展质效双提

2023-01-09 21:05:58打造操作系统“大生态” 筑牢数字经济底座 麒麟软件助推网信产业发展质效双提

相关新闻

最新资讯