活动回顾 | OGA DevSecOps SIG Meetup

活动回顾 | OGA DevSecOps SIG Meetup · 上海站

4月22日，OGA DevSecOps SIG · 上海站圆满落幕。20多位开发者和来自极狐GitLab、火线安全、安势信息的三位嘉宾共聚极狐GitLab上海Demo Center。以下为本次活动的全程回顾，没能来现场参加活动的小伙伴可以点击文末”阅读全文“观看全程录播。

^整场回顾^✦

议题一

《ChatGPT如何助力DevSecOps落地实践》

开源使用率的提升、云原生的转型、研发模式的改变、法律法规等多重因素，使得安全成为了众多企业必须要重视的话题。2012 年出现的 DevSecOps 发展演进至今，已经从最初的概念走向了成熟。也从开始的手动化、自动化到了如今的平台化时代。让用户从最开始的聚焦于工具链转向专注于数据处理。但是这些发展并没有降低安全问题的修复，所谓的安全左移，依旧需要研发人员去学习了解安全漏洞的专业知识。这对于研发来讲是不太友好的。而 ChatGPT 的出现，有了破解这一困境的希望。ChatGPT 能够降低安全问题修复的门槛，研发、测试、安全、运维人都都能够以自己可懂的话术与 ChatGPT 进行“沟通”。只要 Prompt 正确，就能够得到相关人员能够理解并可执行的反馈（比如安全问题的根因，可以修复的建议代码等）。当然 ChatGPT 还能够帮助进行威胁建模报告的生成、安全文档的生成、安全测试的生成等。因此 ChatGPT 将成为 DevSecOps 落地实践的最后一公里。也将 DevSecOps 引向下一个发展阶段：ChatGPT 阶段（智能化，AI）。本次分享介绍了 DevSecOps 背后的三大逻辑，DevSecOps 的演进方向以及最后的 ChatGPT 与 DevSecOps 的 Demo。

🔼极狐GitLab 小马哥进行分享

议题二

《DevSecOpS中的开源安全利刃—洞态IAST》

目前，业界已经达成共识：“安全左移”成为了落地DevSecOps的重要实践之一。作为安全左移中非常重要的应用安全工具，IAST具备检测准确率高、支持场景丰富等优点。然而，目前行业内IAST落地情况两极分化比较严重。郭梦飞老师从为什么需要IAST、IAST实现的原理以及洞态IAST的优势出发，为大家解构IAST在安全左移中的最佳落地实践。