一次完整的借助大模型进行软件安全工具研制的过程(一)

01

软件开发行业面临的主要痛点在于，业务团队和安全团队之间存在明显的知识和沟通鸿沟。业务人员通常专注于工具功能和市场需求，而对安全知识缺乏深入理解;相反，安全专家虽然精通各种安全威胁和防御策略，却往往与具体业务场景脱节。这种分离导致了几个问题：

1. 安全需求被忽视：在项目的早期阶段，安全需求往往未能得到充分的考虑和整合，增加了后期修复的难度和成本。

2. 沟通效率低下：业务和安全团队之间的沟通不畅，导致安全措施难以准确反映业务需求，影响项目的进度和质量。

3. 资源分配不均：安全团队往往资源有限，难以覆盖所有项目，而业务团队又缺乏自行处理安全问题的能力。

正在开发的这个工具正是针对上述痛点而设计，希望通过基于大模型的自动化工具桥接业务与安全之间的鸿沟，提高软件开发过程中的安全性和效率。

· 自动化安全需求分析：通过自动分析项目需求，这个工具能够生成详细的安全需求文档，帮助项目团队从一开始就将安全考虑纳入产品设计中。

· 智能威胁建模：利用先进的轻量级大模型和RAG外挂知识库，这个工具自动构建出针对项目的威胁模型，提供全面的安全视角和预防策略。

· 自动生成安全测试用例：根据安全需求和威胁模型，自动化生成针对性的安全测试用例，提升测试的效率和覆盖率，确保潜在风险得到有效管理。

· 灵活的交互方式：通过Docker容器化部署，结合直观的Web界面管理，极安云为用户提供了一个易于访问和操作的平台，支持快速配置和启动安全分析流程。

· 企业通讯平台集成：支持与钉钉、企业微信、飞书等企业通讯平台的集成，方便团队在常用的沟通工具内直接访问和使用这个工具功能，进一步提升沟通和工作效率。

· 轻量级大模型与RAG知识库：这个工具采用最新的轻量级大模型技术，结合可检索的增强生成器(RAG)知识库，提高了安全分析的准确性和深度。

· Docker容器化部署：通过Docker容器化技术，这个工具实现了快速、灵活的部署，使其能够无缝集成进现有的开发和运维流程中，同时保证了环境的一致性和安全性。

· 数据隐私与安全：所有的安全分析工作都在本地进行，确保敏感数据不会外泄，满足企业对数据隐私和安全性的高标准要求。

支持以下两种主要使用模式，为用户提供灵活的安全分析选项：

· 在这种模式下，用户通过Web界面或集成的企业通讯工具(如钉钉、企业微信、飞书)直接与这个产品进行交互。用户需要手动输入关于项目的安全相关查询，而不能上传文档。系统根据输入提供即时的安全需求分析、威胁建模建议或安全测试用例。

· 优点：提供快速的反馈和建议，非常适合于需要即时解决方案的场景，如在项目会议中讨论时，或在开发过程中遇到特定的安全疑问时。

· 应用场景：直接交互模式适用于项目团队在初步规划、中期检视或针对特定问题寻求快速安全建议的情况。

· 这个工具还提供了与研发管理平台(例如Jira)的集成能力。在这种模式下，这个工具可以自动从集成的研发管理平台获取新添加的项目需求，然后基于这些需求生成相应的安全需求、安全设计和安全测试用例，并将结果反馈至项目记录中。

· 优点：通过自动化流程减轻项目团队的负担，确保安全考虑贯穿项目的整个生命周期。此外，自动化生成的安全文档和测试用例有助于标准化安全实践，提高整体的安全性能。

· 应用场景：研发管理平台集成模式特别适合于具有持续开发需求的大型项目，能够确保每次迭代都自动考虑到安全需求和威胁建模，优化项目的安全管理流程。

· 软件开发公司：尤其适合于需要在工具设计初期就强化安全考虑的软件开发公司，帮助缩短开发周期，降低后期修复成本。

· 跨部门协作项目：对于业务团队和安全团队需要紧密合作的项目，这个工具提供了一个共同的平台和语言，促进有效沟通，确保安全和业务需求的同步优化。

· 高安全要求行业：金融、医疗、政府等对安全要求极高的行业项目，可以利用这个工具来确保软件开发从一开始就符合严格的安全标准。

· 自动化安全需求分析：软件将利用自动化工具分析输入的项目需求，并据此生成安全需求文档。

· 智能威胁建模：结合轻量化大模型和可检索的增强生成器(RAG)知识库，自动构建针对项目的威胁模型。

· 自动生成安全测试用例：根据安全需求和威胁模型，自动编写并提供安全测试用例，旨在覆盖潜在的安全威胁。

· 大数据与AI技术：采用轻量化的人工智能模型和RAG知识库来增强安全分析的深度和广度。

· Docker容器化部署：软件采用Docker技术进行容器化部署，以支持灵活的安装和快速的部署，确保环境的一致性和可维护性。

 Web界面：提供基于Web的管理界面，允许用户通过浏览器进行安全需求分析、威胁建模和测试用例生成的操作。

· 直接交互模式：用户通过Web界面或集成的企业通讯工具直接输入项目相关的安全查询。

· 研发管理平台集成模式：软件可以集成到如Jira等研发管理平台，自动从平台获取项目需求，生成安全需求和测试用例。

· 本地数据处理：所有安全分析工作在本地完成，不上传到外部服务器，确保数据的隐私和安全。

· AI技术：采用ollama大模型和anythingllm RAG。

· 数据库技术：使用Milvus向量数据库和SQLite本地数据库。

· 部署技术：基于Docker容器化技术进行部署。

· 性能目标：响应时间不超过2秒，支持每秒处理多达100次查询。

· 基准测试：使用专业工具如JMeter进行加载和性能测试。

· API文档：详细描述RESTful API接口，包括URI、请求方法、请求参数、响应结构和状态码。

· 第三方集成：文档化与Jira、企业微信等第三方服务的集成接口。

· 数据加密：采用TLS加密所有传输数据，使用AES加密存储的数据。

· 访问控制：基于角色的访问控制系统，确保只有授权用户可以访问敏感功能。

· 错误代码：每种错误类型都有对应的错误代码和标准错误消息。

· 日志记录：采用标准日志格式，记录关键操作和系统错误，支持日志等级调整。

· 用户手册：提供详细的用户操作手册，包括安装、配置、日常操作等。

· 培训材料：开发针对不同用户角色的培训视频和文档。

· 系统架构图：详细的系统组件和数据流向图。

· 界面流程图：用户操作和系统响应的流程图。

· 版本记录：每次文档更新的日期和主要变更记录。

· 反馈机制：建立用户和开发者反馈通道，定期审查和更新设计文档。