2026-01-27 14:42:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周聚焦安全考核落地与编码规范。考核需高层支持，建议纳入KPI或通过数据晾晒排名驱动，明确Policy红线。针对SAST误报痛点，探讨了利用AIAgent进行代码审计与修复的实践，指出其能显著提升准确率并实现自动化交付，建议在代码提交环节引入AI检测。 综合评分： 88 文章分类： 安全建设,安全开发,代码审计,AI安全

cover_image

安全考核跨部门落地与编码规范执行：机制设计与技术实践｜总第306周

原创

群秘群秘

君哥的体历

2026年1月27日 07:56 甘肃

0x1本周话题

话题一：大家是如何将安全落实到各部门的考核中，一般占几分，含有哪些考核项？

A1:总部给分支机构有，因为有流程和渠道，游戏规规则都是总部制定的，有考核权才有可能加入安全考核项，对于平行部门，没有权利考核人家，就很难。

A2:如没有考核，安全工作很难在各部门落地。安全要和企业战略结合，不是安全部门可以自己说了算的。我们这一般都是把业务部门需要做的事情写到制度里，有需要配合的，拿制度说话，目前还没有实际的考核。

A3:我们没有高大上的战略，就是安全合规底线。当然要落实肯定需要公司分管领导的支持和党委审核通过。如果安全没有在公司战略中，那就先满足合规底线就可以了。

A4:作为扣分项体现在考核指标里，包含了审计、法务、文化、安全几个维度，扣分最多5分。

A5:我想的考核，主要作用是希望各单位能全力配合安全部门工作。比如各部门设置一名安全联络员，1分。各部门按时按质完成安全部门下发的任务，1分。如被上级监管部门扣分的，需要根因部门承担相应的扣分，安全只承担统筹失分，比如5分，根因部门扣4.5分，安全部门承担0.5分。

A6:差不多。比如安全漏洞不修复，安全问题不整改，审计问题不整改，出保密事件，出安全事件。安全也有扣分项权力。

A7:企业战略里都是业务，IT部门作为支撑组织，也是通过解析业务需求来制定自己的战略。而安全作为一般会独立做规划，但很难拿到公司核心领导层去评审，领导们一贯还是认为安全是IT自己的事情。

A8:现在就是在推动这些工作时出现这类问题，所以想推动安全入部门考核。那最后考核的时候，是不是安全还要给各个部门扣分。目标或者考核组来执行，安全只提供客观数据。目的只是想安全更容易推动和落地，考核是跟年终绩效是会挂钩的。

A9:各部门的kpi加上安全10%的占比？

A10:审计，策略制定，策略执行，这3个角色要分离。不然本身就是风险项。CISA里面都有。具体占比多少，需要公司核准。

A11:这些工作我目前做法和这个类似，但不是加在考核项里，而是通过季度的安全季报进行数据晾晒来驱动业务领导层重视。具体工作推进我们有ITBP，给他们的职责里有1/3是安全的，也是他们的考核项。

A12:差不多就是这个思路，我们总的安全合规一共占年终组织绩效的一定比例，比如10%，不会考核到具体个人身上。只会通过团队的组织绩效比例来影响个人绩效。

支持信息安全工作肯定不是某个业务组一个两个人的事情，所以即使一个两个人做的不好出问题他们一个组跟着背锅。

A13:安全写在各部门职责里这确实也是一个好方法。组织绩效最后还是会拆给个人，要定KPI就定到部门leader到头上，自然就会配合起来。

这个落实到个人的话，那就由各部门去操作了。如落实到部门考核，那么就相当于到了部门leader的，他们个人的绩效考核会跟部门考核挂钩。

A14:路径还是需要从上到下的支持，比如负责安全的人要在决策会上提出这个事，决策委员会都认同了，往下走就顺了。

Q：这个数据晾晒能分享点经验么？比如一般从哪几个维度晒哪些数据？分团队晒还是全局晒？晒的形式有哪些？还有就是数据晾晒这种行为碰到的最大阻碍是啥？我们也打算搞这种了。

A15:晾晒很容易，关键是业务部门是不是关心这个数据。

A16:人情世故。只要抄送的级别够，下面自然会卷。给领导看的，给业务部门压力的。所以想要吸取点经验。大家也会有比拼的，每次在最后领导脸上也过不去。效果就看各个公司信息安全团队的占位了，我们这相对还是有些力度的。

A17:还有安全部门在公司的位置，有没有类似CISO的角色？

A18:OWASP有个Security Champion的项目，有兴趣可以看看，里面有具体操作方法。安全代表是个好方法，但安全代表是业务部门自己选出来的安全接口人。

A19:我理解首先要高层支持，由人行指定考核细则，然后it进行考核。集团或总行，一般也不会考虑到这么细的，他们一般只会分到安全部门。

作为集团二级单位，在二级单位内部和HR以及合规审计部门达成一致，把安全KPI贯彻到底。合规审计还是要提级，同级意义不是太大。

A20:我们每季度会做个全公司一级部门的安全排名：

固定维度：安全事件、合规遵从、权限管控、导数次数、钓鱼中招数。在固定维度里每个都有评分标准。这个排名会发给所有一级部门领导，并抄送公司所有高层。同时由分管我们的领导在经营会上晾晒（这个做的不好，不是每次领导都愿意去配合晾晒）。
任务维度：根据每个阶段需要各部门配合的安全任务完成情况打分，主要从进度评分。

A21:Get，这里打分是相对主观的打分么？还是有一套详细的计分逻辑，参考了哪些成熟度评价标准？

A22:稍微总结下：

安全考核与公司业务以及IT战略是高度绑定的，没有这个大旗，考核容易受到质疑或者效果不好，安全考核动作取决于考核发起的层级以及定位，需要通过考核达到什么目标，与高层领导关注是不能保持一致，能不能业务赋能，但是很多时候安全不太会关注集团的大战略和大业务。
其次，安全考核能不能落到实处，比如同级部门的安全考核谁来考核，怎么定考核指标，安全对于该部门的影响程度有多大，是基线考核还是任务考核等等，基线是扣分，任务考核是加分（鼓励也很重要）等。
再次，如果没有考核，排名也是可行，但是也是需要高层领导的支持，而且评分的客观性首先要保证，毕竟安全部门本质与IT部门一样是服务支撑保障部门，不是业务部门，但是要产生业务价值，至于公开不公开不重要，重要的是领导要知道，然后相关部门的领导也要知道，邮件抄送都行，拿到领导层级会议上直接秀那效果更好。
最后，是基线问题，将安全基线纳入到考核中是可行的，但是要设置合规基线中的红线问题，比如数据外泄，重大安全事件，违法违纪等。

A23:正常，我们内部有个CEO月报的机制，每月我都报信息安全工作成果总结上去，CEO也不是每个月都给我们展示成果的。

A24:我们要思考我们要得到什么的效果，达成什么的目标，如果只是为了打分而打分就没有太多意义了。

A25:目标效果肯定就是希望给到各个团队压力和对比，让后续信息安全工作推进更加顺畅，同时为年终的绩效评价部分信息安全的评价更加有依据更加经得起考验。

A26:信息安全工作推进要和业务达成共识，强推没有用，业务有自己的考量。达成共识是另外一回事了，得恩威并施，单纯达成共识对执行质量没有保障。

A27:把要做的事情都写到policy里面，然后大家签名确认，这个比排名更有效。很多时候和业务说，他们首先会问，这个在不在policy里面。policy里面明确了risk的等级，以及对应的SLA。

A28:这是policy和risk面向具体事项的，跟整体排名评分并不矛盾，多管齐下。

A29:是的，信息安全工作要和业务达成共识，如果没有共识，能做的仅仅只是红线考核，出事了该怎么处罚，但是不做事能不能罚就不一定，这样肯定达不到安全部门想要的效果。事情写到Policy里，这是要求大家尊重同一基线，如果让对方执行，还是必须要将安全切入到关键节点，这不是考核的问题。

A30:考核只是一方面，安全如何和业务战略结合，以及发挥影响力，需要整体来看。

A31:考核的结果要么是处罚，要么是奖励，总之一句话让大家按照指挥棒走，但是要考虑的是这个指挥棒握在谁的手里很重要，握住指挥棒的人或者人们是如何看待业务与安全之间的关系，这就决定了考核所能呈现的形式和达到的效果。

话题二：各位大佬，Q1中编码阶段开发人员不遵守安全规则、以及静态源代码扫描结果处置，有没有好的实践方案？

A1:让员工立即挂上公司编码规范，用AI改。或者通报批评，扣绩效，多来几次就老实了。

Q：文档化的编码规范，如何转化成代码检查等技术手段？除了源代码扫描，AI可以做吗？

A2:AI不是轻轻松松。搞个MCP或者搞个Agent很容易。

Q：编写一些安全代码库，直接强制让开发人员根据场景去调用，是否可行？有没有哪家是这么做的？

A3:这样做很重的。落地过程中你会发现遇到一堆问题，而且这些问题还是解决不了的。

A4:那安全编码这块难道就没有好的办法去约束开发人员了吗？

A5:他们现在有人在搞基于AI agent 进行漏洞修复的实践，可以考虑下。

A6:针对信息系统建设编制的可行性研究报告、网络安全方案，大家对其进行网络安全评审时分别考虑哪些方面要点？有没有什么智能化、自动化的系统干这个事情？

A7:直接在coding层面就让ai介入了。

A8:约束只能是管理手段啊，技术手段你要约束谁，啥技术手段绕不过去。技术手段你只能是发现问题，并且给出修复建议，这个AI特别擅长。这些规范可以在AI coding阶段提前规定好，或者后面做检测修复。

A9:这里会有一个问题，client端的Rules其实研发可以随意变更，目前也没有统一的Client端的Rules管理方案。

建议还是从AI Agent入手把研发的代码合并到生产这个环节抓紧了更加实际。代码提交到git去merge的时候最适合做检测和打回去修复。

A10:这个ah coding需要什么作为ai的输入呢？安全编码规范？那这对安全编码的要求很高啊。

A11:可以多道检测。就是上面github里面的几个md文件，放在开发工具IDE的配置文件下面，让AI遵守。

A12:提交代码时候流水线有静态安全代码扫描，和这个ai agent有啥区别？

A13:静态代码扫描的一个能力增强而已，解决SAST高误报的问题，提高准确率。同时可以把你的编码规范应用起来，而不是静态代码扫描的规则库。

A14:静态代码扫描结果，应该如何处理？误报率挺高，有些确实是误报，但有些是看不出来或者误判。报告里上千个漏洞，有没有快速且准确的判断方法？

A15:我们没有引入SAST误报率太高了，浪费感情。直接用AI Agent反正误报率能控制在可接受范围内，对AI Agent的调教比对SAST规则的优化来的简单，高效多了。

我们用AI Agent+IAST能够把漏洞准确率控制在90%以上，而且全程自动化交付给研发和测试自助使用，信息安全团队都不需要怎么介入。

Q：IAST你们用的什么工具？这个得开发完部署之后才能扫描吧？

A16:这是另外一个步骤了，不是编码规范阶段的工作了。

A17:你们AI agent自己部署的？本地的算力？方案阶段有引入ai的吗？比如输入需求，ai根据威胁建模输出安全档案？

A18:可以本地，也可以直接接外部的API，看你们是什么性质的公司了。

A19:AI agent是做什么用？自动化去运行系统？ IAST去代替SAST 得保证能遍历到所有的代码分支，也不是很容易。

A20:我这边目前实现的是把产品需求设计文档或者技术架构方案文档给到API，然后根据安全的安全标准进行评审，然后输出个评审结果和评分。感觉完全代替SAST的话，可能会漏。但是这个东西还是给产研看的一个东西，做个参考。

A21:IAST和SAST是两个阶段的东西，没有替代关系。不要理解岔了。我们是用定制化的AI Agent替代SAST。

A22:安全评审标准和评分标准是如何定的？

A23:其实就是网上或者你们自己设计的标准，比如是否包含个人敏感信息，应用的变更是否包含订单，交易，这种场景，如果有一定情况提高分值。

A24:规范的东西是研发执行的，安全没有必要强制，也强制不了。确保写出来的代码通过SAST等审查就可以了，研发如果愿意，直接集成到CICD里面。

A25:AI能替代IAST吗？不能吧。IAST目前肯定是不行的了，替代SAST绰绰有余了。

A26:不行，替代DAST还差不多。怎么替代的SAST？代码怎么操作的。

A27:能替代DAST？我只能理解替代SAST，就是把代码给他，问有没有漏洞，但如果文件多就不行了。

A28:能做SAST的事，但是不知道怎么能完整实现呢。IAST是用来精确DAST的扫描。IAST不接触代码。

A29:不可能把整个文件给吧，而且一段代码片段肯定不准确。

A30:AI替代IAST是啥的操作…都不是一个维度的东西吧。AI目前帮忙做的是筛选，分析的活儿。

A31:起码很多注释补上了，单元测试代码补上了。SAST需要操作啥代码，不是获取代码，根据信息安全要求分析代码，找不不安全的编码方式和问题点，然后打回给研发去修复。用来快速重构和接收别人的项目是一把利器，我们研发团队有很多实践案例分享。感觉效率非常高，质量也都在能接受范围。

是什么限制了，就把一整个文件给它。AI时代的代码价值没有以前那么高了，AI时代的核心价值是数据资产，当然这个需要公司整体达成共识。

A32:具体操作流程怎么实现的呢？以前我们尝试用AI分析代码安全漏洞，都是基于SAST扫描结果去研判，但是这样也有问题，没办法把整个代码上下文给AI。

A33:整个代码上下文你们的界定范围是什么？如果只是git上的那个project直接拉下来不就好了。

A34:是不是模型太小，只有32b。还是上下文窗口太小的问题？

A35:如果之前我们整的那种模式，SAST扫描完定位某个问题代码行，把代码行上下文拿出来组成一个问题给AI回答判断这样，代码太多，窗口太小。不知道你说直接把工程拉下来，怎么送给AI的。

A36:那就是模型窗口限制的问题，我们没怎么碰到这种问题，单个项目代码量倒是都不是特别大，这有很多种应对方式：

分层递进的分析模式
附加RAG知识库的模式
分段分析总结的模式
聚焦于问题点纵深调用链分析的模式。可以采用多Agent交互方式来增强效率和体验。

A37:这里面其实是两个问题，一个是全量代码审计，一个是增量代码审计。全量代码审计可以SAST然后再把结果丢给AI让他去分析，或者直接把代码库丢给AI然后搞个CheckList让它自己去跑。

增量代码审计，使用AST/LSP相关工具，或者codeql啥的，把关键上下文抽取出来，再丢给AI。

A38:其实可以这么理解，一次全量审计其实就是形成了一个基础的代码知识库，后面增量或者变更的时候基本就不会有因为代码量过大而导致超出上下文窗口大小的问题了。

0x2 群友分享

【安全管理】

《SHA1HULUD蠕虫再现：超300NPM包被投毒、 2万仓库信息被窃取》

《捕获在野利用！React漏洞无条件触发，通用规则可检出》

《豆包手机直接问出银行卡余额，多少金融级应用在裸奔？》

《AI 黑进斯坦福网络 16 小时：它已经开始胜过人类黑客了》

【安全资讯】

《彭博：CME交易宕机是人为事故》

《【真核弹】CVSS 10.0 满分漏洞席卷前端圈，React/Next.js 全面沦陷，堪比 Log4j？》

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

安全运营实践与DNS应急容灾策略探讨｜总第305周

代码安全、漏洞管理与网络安全五年规划：关键问题与实践策略｜总第304周

重运营的游戏公司，如何做好安全？从防泄密到渗透测试的实战思考｜总第303周

如何进群？

如何下载群周报完整版？

请见下图：

‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君哥的体历群秘群秘《安全考核跨部门落地与编码规范执行：机制设计与技术实践｜总第306周》