百度安全入选2023年移动互联网APP产品安全漏洞治理十大优秀案例

1月16日，在工业和信息化部网络安全管理局和北京市通信管理局指导下，在北京市通信与互联网协会支持下，中国软件评测中心（工业和信息化部软件与集成电路促进中心）、工业和信息化部移动互联网APP产品安全漏洞专业库在京举办第四期移动互联网APP产品安全漏洞技术沙龙，会上公示了“2023年度移动互联网APP产品安全漏洞治理十大优秀案例”，百度安全旗下“百度移动APP全生命周期漏洞治理平台”入选并获颁证书。

随着移动互联网的快速发展，APP已成为互联网信息服务的重要载体。与此同时，以暗中扣费、偷跑流量、植入恶意广告等为代表的APP恶意攻击事件频发。据统计，全球每年至少新增150万种移动端恶意软件，至少造成超1600万件的移动恶意攻击事件，给企业及用户带来了重大损失，而传统以人工审计为主的APP审计方式渐显不足。百度移动APP全生命周期漏洞治理平台打造了一个准确、全面、规范、高效的APP漏洞自动化检测平台，自2017年正式上线以来不断更新迭代，能够全自动化测试、安全准入准出移动APP，并依托百度应急响应中心BSRC实现APP漏洞响应，全方位保障百度移动业务安全，同时面向对外合作伙伴提供服务，促进移动互联网生态健康发展。

具体而言，百度移动APP全生命周期漏洞治理平台构建了三大模块功能：源码安全扫描、应用安全检测和安全应急响应。在源码安全扫描、应用安全检测过程中，平台结合百度文心大模型的内容检测方案与自动化安全检测APP明文传输敏感信息方案，具有更精确的APP内容识别能力与HTTP包敏感性，提升评估效率；基于硬件虚拟化的动态检测方案及自动化安全检测外部存储卡存储敏感信息方案，通过分析APP写入存储卡数据敏感性，在提升测试效率的同时，具有兼容性好、可扩展性强、维护成本低等特点。依托百度移动APP全生命周期漏洞治理平台，百度目前已建立了移动APP安全准入准出基线，业务开发人员只需循环检测和修复两个环节即可实现移动APP全自动化安全准入准出，全程无需或极少需要安全人员指导。最后，依托百度应急响应中心BSRC，实现百度移动APP产品漏洞收集、处置和发布流程一体化、规范化，实现漏洞治理闭环。
目前，百度移动APP全生命周期漏洞治理平台已在公司内部地图、网盘、如流、翻译、车联网等近百款APP中部署落地，切实保障了百度移动业务信息安全；同时面向汽车、金融、物流、快消、智能家居等行业大型企业客户提供多种服务接入方式，体现了良好的可扩展性。未来，平台将基于大模型不断提升源码安全扫描和应用安全检测能力，更好的服务公司业务及外部合作伙伴。
百度安全是以AI为核心打造的安全品牌，是百度24年安全实践的总结与提炼。基于基础安全、数据安全、业务安全、车与IoT安全四大产品矩阵，业务覆盖百度各种复杂业务场景，同时面向合作伙伴输出安全产品与行业一体化解决方案，涵盖智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域，全面探索AI时代的新实践、新范式。未来，百度安全将持续关注并致力攻击防护技术研究，支撑移动互联网APP产品安全漏洞管理，以更安全的AI护航产业发展，持续深化“人工智能+APP安全”的融合创新。