2025 年 4 月 10 - 12 日,QCon 全球软件开发大会将在北京召开,大会以 “智能融合,引领未来” 为主题,将汇聚各领域的技术先行者以及创新实践者,为行业发展拨云见日。
腾讯 TEG 安全平台部代码安全负责人张栋已确认出席,并发表题为《大模型驱动安全升级:腾讯代码安全应用实践》的主题演讲。安全漏洞是每一个企业都必须面对的问题,处理不好动辄影响服务可用性、导致核心业务敏感数据泄露,对业务及公司造成不良影响。基于此在企业研发体系中,绝大多数企业会选择通过安全左移在软件开发生命周期的早期阶段进行风险识别和安全问题修复。但是,传统的静态分析工具本身因其检测方式导致的覆盖有限、高误报、修复效率低等问题,增大了业务团队负担,致使业务对安全问题响应慢、体感差。在本次分享中,张栋将结合腾讯内部的实践经验,深入探讨大模型在代码安全场景中的应用,分享在不同发展阶段其遇到的挑战及其解决方案。
张栋现任腾讯 TEG 安全平台部代码安全负责人,拥有 10 年以上安全平台研发经验,在腾讯先后负责大数据、网络、主机、代码等多个基础安全产品的设计与实现,参与制定多项安全领域国家标准制定。当前重点关注人工智能技术在代码安全场景的研究与应用,在腾讯内部主导多个代码安全场景前沿 AI 应用落地,包括大模型赋能传统工具、大模型赋能代码扫描左移、大模型自动化代码扫描等等,在腾讯内部被广泛应用,促进开发者与安全运营的生态人效与安全共同提升。本次会议中,他的详细演讲内容如下:
演讲提纲
1. 代码安全现状及问题分析
传统代码安全现状
传统代码安全痛点
业务安全场景痛点
传统代码安全的局限性
2. 大模型在代码安全场景应用与挑战
大模型赋能传统工具
大模型助力安全左移
大模型自动化漏洞检测
3. 技术架构及解决方案
行业前沿解析
架构设计及能力演进
基础能力建设
4. 总结及展望
工程实践心得
大模型在代码安全场景落地的方向
您认为,这样的技术在实践过程中有哪些痛点?
领域专用语料筹备较难,开源及行业缺少合适的数据集
benchmark 构建成本高,业内缺乏权威且实用的 benchmark
大模型自身带来的成本,如时延、token 限制、幻觉等
演讲亮点
代码安全场景大模型落地思路及过程经验分享
大模型自动化漏洞扫描思路及过程经验分享
专用领域大模型的微调思路及过程经验分享
听众收益
了解专用模型领域微调思路及落地实践
了解大模型落地过程中常见问题及解决方案
了解大模型赋能安全的基础上,进一步泛化至其他应用场景
除此之外,本次大会还策划了多模态大模型及应用、AI 驱动的工程生产力、面向 AI 的研发基础设施、不被 AI 取代的工程师、大模型赋能 AIOps、云成本优化、Lakehouse 架构演进、越挫越勇的大前端等专题,届时将有来自不同行业、不同领域、不同企业的 100+资深专家在 QCon 北京现场带来前沿技术洞察和一线实践经验。
现在报名即可以享受 9 折优惠,单张门票立省 680 元,详情可扫码或联系票务经理 18514549229 咨询。
