DeepSeek本地部署之赋能源代码安全审计

    在软件测试领域，我们团队积极进行测评技术研究，尝试DeepSeek大模型应用于软件质量保障体系。通过充分发挥该模型特有的深度语义理解与多维度推理能力。近期测试的一套系统为例，通过运用DeepSeek大模型对其源代码的防御建议进行深入的投喂和训练，对于源代码测试报告中出现的“代码质量”、“密码管理”等代码安全问题，提供防御建议，经项目验证，与研发沟通成本下降至10%以下。该实践充分验证了DeepSeek在源代码审计和智能修复建议方面的卓越表现，其特有的迁移学习能力可快速适配不同技术栈，为软件全生命周期质量保障提供了新一代AI解决方案。

    本篇文章主要分为两个部分来介绍如何部署DeepSeek以及进行训练使用。

1. DeepSeek本地部署框架安装及模型下载

2. DeepSeek模型数据训练

    本次部署使用Ollama和AnythingLLM两种框架运行DeepSeek模型，当前DeepSeek模型参数包含7中方案分别为1.5B、7B、8B、14B、32B、70B、671B，在基于当前工作的需求使用8B以下的中小型模型既能满足需求。

    Ollama 是一个轻量级的本地AI模型运行框架，可在本地运行各种开源大语言模型（如Llama、Mistral等）浏览器输入网址：https://ollama.com/ 选择对应的版本进行下载，后运行安装。

    安装之后，Ollama已经运行了，它是CMD命令工具，我们可以在命令行输入ollama来验证，是否安装成功，如果出现下图的内容的话，就表示下载成功。

    在命令行模式中输入指令下载对应的DeepSeek模型

ollama run deepseek-r1:1.5b，下载完成后可以使用ollama list命令来查看已下载的模型。

安装完成后已经可以通过ollama serve命令启动DeepSeek模型并在命令行模式进行使用，AnythingLLM工具提供了可视化UI及更直观的配置方案。

    AnythingLLM能将你的文档、笔记、网页等各种数据源连接到本地 Ollama 运行的 DeepSeek 模型，构建一个真正属于你的、个性化的知识库问答系统。登陆https://anythingllm.com/下载对应系统版本的AnythingLLM，并进行安装。

    LLM供应商中选择已安装的Ollama,在引擎供应商页面选择Ollama后即可找到之前下载的DeepSeek模型，选中后即可开始使用。

    完成工作区配置后点击左侧Tread区域的配置按钮进行配置。

    在聊天设置中工作区LLM提供者菜单选择下载的Ollama，并选择对应的模型，之后点击最下方的update workspace按钮保存更改。

    在代理配置区同样进行此操作，到此已完成了DeepSeek的本地部署工作。

    在进行训练前对本地部署的DS进行提问测试，如何解决硬编码密钥类的问题，再未进行数据投喂训练时，DS给出的答案较为模糊，且包含不需要的内容。

    准备相关的训练数据并在左侧工作区点击上传按钮导入训练数据。

    将训练数据更新到工作区。

    更新后点击下方的Save And Embed按钮进行工作区更新更新成功后会提示update successfully，在进行大数据投喂时必须保证Ollama处于启动状态，否则在投喂数据时会提示update failed。

    对相同问题再次进行提问，经过推理后给出的回答，如果对回答内容不满意可以重复以上步骤，多次输入训练数据，提供的训练文本越多经过DeepSeek推理后可以提供的回答越详细。

    针对不同的需求可以在左侧创建多个工作区，针对不同工作区的特点输入不同的数据。每个工作区的投喂数据训练都是独立的。

    此外工具还提供了API接口可以进行外部调用，具体可以自行查询DeepSeek相关API文档。

案例1-代码质量-模拟训练

进行api接口相关问题的数据训练，导入输入数据。

查询使用不必要的线程安全类问题整改方案。

案例2-密码管理-模拟训练

进行密码安全相关问题的数据训练，导入输入数据。

查询硬编码密钥问题整改方案。

案例3-漏洞缺陷检索-模拟训练

数据训练支持不同格式的导入数据（txt、pdf、word、excel等），本次导入excel格式数据进行尝试。

根据导入数据查询国标GB/T 34944-2017中Java缺陷类型有那些。

    本次源代码安全审计工作中，我们采用了DeepSeek推理模型，显著提升了软件测试结果的准确性，进一步验证了AI大模型的强大能力。该模型不仅大幅提高了测试工作的效率和精准度，还有效弥补了软件测试工程师在某些方面的不足，从而全面提升了软件测试的覆盖率。我们相信后续通过大量数据的模拟训练一定能够更加精准地定位软件或源代码中那些隐蔽且难以察觉的软件缺陷，更为开发人员提供有效的整改建议和加固措施，实现软件检测准确率以及与开发人员沟通成本上大大节约时间成本。