软件有引擎。我们经常谈论软件引擎的存在，作为技术的核心组件，这些技术驱动我们可能使用应用程序或服务方式的实质性元素。数据库引擎负责所需的所有读取、写入、访问和分析功能，游戏引擎负责 3D 渲染和角色在屏幕上的移动等等，我们有用于大数据分析的数据科学引擎。

　　这个有用的类比也适用于应用程序安全（有时称为 AppSec）行业，但在略有不同的层面上，这有助于我们解释漏洞检测和修复现在是如何演变的。

　　Qwiet AI 首席执行官 Stuart McClure 表示：“市面上有很多遗留工具，应用安全业务长期以来一直有点像汽车修理工的车间，即他们喜欢告诉你问题出在哪里，指出漏油问题，也许还会对着你片状的刹车片挥动手指。“显然，更谨慎的做法是在汽车发动机出厂前对其进行支撑，并在考虑每天将钥匙放入点火开关之前进行定期维护检查。同样的原则也适用于软件安全，即如果我们在应用程序'运行时'之前查看代码漏洞 - 代码实际执行，加载到内存中并且我们的应用程序工作 - 那么我们可以更安全地向前推进。”

　　“为了防止软件代码及其驱动的应用程序受到攻击，你必须首先了解攻击是如何发生的——所有攻击都来自开发人员，”麦克卢尔建议道。“在人工智能辅助恶意软件工具存在的时代，威胁形势再次发生变化，企业组织将需要以火攻火，并使用人工智能驱动的代码漏洞检测来实现软件代码级别的补救。应用程序安全是一个预防可行的领域，但这不仅仅是一个左移的问题，我们需要回到零日之前的状态。......等等

　　这种“左移”的概念（假设我们从左到右书写）是软件行业的术语，用于描述那些战略性地将安全性提前引入开发过程的公司。然而，许多人认为，挑战在于承诺往往超过了技术，导致许多 AppSec 工具缺乏准确性和速度。McClure 和团队认为，这些工具会产生“嘈杂”的结果，扰乱开发过程，而不会显着增强应用程序安全性。

　　Qwiet AI 以前被称为 ShiftLeft，今年更名是为了与这样一个事实相一致，即左移现在已成为全球技术词典中事实上的行动和定义的术语（如果您愿意的话，也可以是行话）。该公司本身是围绕一种称为代码属性图（CPG）的技术而成立的，该技术提供了对扫描代码的无与伦比的可见性。这种专利方法以不同的方式处理代码和软件分析，提供比其他现有工具更全面的数据流分析和关键上下文 - 使用户不仅能够看到代码中的漏洞，还可以深入了解它是否可被不良行为者访问和利用。

　　真正的突破来自人工智能的最新进展，这得益于模型的复杂性、增强的计算能力和不断增长的人才库。这对行业和我们公司来说都是一个'根本性的解锁'，首席执行官麦克卢尔说，他以前既是编码员又是技术作家。“通过将我们原始技术的数据和可见性与六年多来和 78 亿行分析代码相结合，我们创建了一个带有自定义 AI 引擎的应用程序安全工具，该引擎自然地利用了我们获得专利的基于 CPG 的扫描方法提供的可见性和洞察力。在速度（比传统工具快 12 倍）和准确性（误报率减少 80%）方面，效果都非常出色，使工程师、DevOps 和安全团队免于追逐无法访问或误报的漏洞的“时间消耗”。”

　　与任何有价值的企业软件供应商一样，Qwiet AI今年一直在完善、增强和扩展其核心技术平台，并扩大其服务范围。preZero用户界面和用户体验（UI/UX）层已得到增强，可提供针对特定用例进行调整的视图，并允许快速导航到对特定用户最重要的材料，无论是开发人员，安全专业人员还是执行领导。

　　Chris Hatter说：“该领域的大多数软件工具都专注于软件工程（程序员/开发人员）团队及其专注于管理持续集成（CI）管道等的运营人员，或者，他们专注于网络安全管理团队 - 我们的平台的设计和构建都专注于两者，Qwiet AI 首席信息安全官 （CISO）。“我们希望两个团队能够协同工作，这样我们就可以将 AppSec 一词作为一个统一的实体进行验证;这就是为什么我们扩展了我们的（UI/UX）来为开发人员和网络团队提供我所说的“两个角色”。此外，我们希望网络团队能够按业务部门了解宏观组织问题，因此这里发生了不止一个顿悟时刻。”

　　该平台的其他功能包括其软件物料清单 （SBOM） 导出功能。这些允许客户按照 2021 年白宫网络安全指令导出调查结果，该指令旨在帮助减少软件供应链的安全问题。今年还增加了新的软件语言支持，但让我们把细节留给工程师。

　　为了完整地循环并试图证明本次讨论的标题标题是合理的，Quiet AI 屏幕界面提供了一个 Qwiet 按钮。此功能旨在减少系统扫描产生的“噪音”，这些噪音可能会突出显示典型企业软件堆栈中存在数百个当前漏洞。它激活了几个关键过滤器，包括漏洞严重性、可访问性和可利用性，以显示那些最紧急和需要修复的漏洞，使开发人员能够专注于最重要的事情。

　　想象一下，对美国一家零售制造企业进行系统扫描，该企业拥有两个仓库、18 家门店和一个在欧洲设有卫星办事处的公司总部。

　　一份初步报告详细介绍了 286 个软件代码漏洞，网络安全团队看了一眼，意识到它正在从消防水管中汲取水。可以在 Qwiet AI 中应用初始过滤器来减少该数字，并仅显示那些严重性高的漏洞 - 该操作可能会使数字降至 128 - 因此事情开始看起来更易于管理。第二个过滤器仅突出显示那些可访问的漏洞（存在数据通道管道或连接，可能通过应用程序编程接口 - 例如 API），将总数减少到 76 个。然后应用第三个过滤器，仅显示那些（根据开发人员网络和门户上共享的知识）正在被积极利用的漏洞，从而将漏洞总数减少到 34 个。

　　由于看似不可逾越的 286 和更易于管理的 34 之间的区别相当明显，因此有机会消除所有噪音并专注于 CISO Hatter 所说的“真正重要且对业务影响最大的问题”是一个有吸引力的选择——这就是一键式 Qwiet 按钮所提供的。

　　“在这个较低的级别，我们可以将这些漏洞修复直接放入软件工程团队的开发工作流程中，”Hatter 解释道。“这些补救操作已集成到开发人员的工作流程中，以便它们存在于团队的项目管理工具（例如 Jira）中，以便可以在最重要的地方立即采取行动。”

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。