近日，數說安全針對中國網絡安全市場宏觀趨勢、政策法規、市場數據、技術方向、企業戰略與經營、產業投融資等多維度進行深度分析和詳細研究，發布了《2024中國網絡安全市場年報》，比瓴科技被評為2023網絡安全新星代表企業。

隨著數字化轉型的不斷深入，企業面臨著日益復雜且嚴峻的網絡安全威脅，有效的威脅建模對于企業至關重要。在此背景下，大語言模型（LLM）技術提供了良好的安全底座。比瓴通過結合大模型和知識增強技術建立威脅建模系統，幫助企業落地威脅建模活動。

瓴知-應用安全威脅建模系統（TMA）以安全專家知識庫為核心，增強式LLM、需求識別及決策引擎為驅動，通過自動化安全需求識別、標簽篩選的方式向用戶提供輕量化、便捷式的安全威脅建模能力，為企業安全開發活動賦能。

安全專家知識庫基于核心內容交付團隊十數年安全行業積累所形成的安全專家知識庫，為企業所面臨的各類常見安全問題提供覆蓋全流程的安全能力；

安全需求識別及決策引擎通過不同維度標簽體系將安全專家知識庫數據條目之間建立關聯為上層應用提供了迅速便捷的安全基線分析、識別能力；

增強式LLM引擎基于私域知識召回的增強式大語言模型(LLM)生成引擎，專注于實現復雜或特定深度安全知識的迅速檢索與查詢；

自動化安全需求識別通過大模型對開發設計文檔進行總結，通過向量匹配和多路召回等技術快速實現安全威脅建模。

某保險集團經典案例

項目背景 某保險集團積極推進數字化轉型建設，不斷開展科技創新，豐富業務生態，以向客戶提供更優質的服務。為貫徹安全左移理念，完善安全開發體系建設，提升企業信息化業務的安全性，開展本項目建設。擬在立項、需求、開發、測試、發布等階段增加安全活動，同時盡量降低對原有工作流程的影響。

方案實施 比瓴科技根據用戶需求建設瓴域安全開發管理平臺產品，與用戶內部項目管理系統、需求管理系統、IT服務管理系統進行對接。把安全融入開發過程，實施安全過程保障。

安全開發管理平臺以“API即服務”的形式嵌入集團開發流程，在軟件開發不同階段提供不同能力，降低安全開發阻力，為安全開發活動賦能。

立項階段：對接項目管理系統，提供系統定級能力，通過問卷形式，輔助應用系統安全定級工作，保障安全資源分配的合理性。

需求、開發、測試階段：對接需求管理平臺，通過內置知識庫輔助安全需求的輸出，提供安全設計、安全組件以及安全測試要點等內容，并同步記錄安全需求的提出、實現、驗證情況。

發布階段：對接IT服務管理系統，記錄經過安全需求驗證的系統的發版信息。

效果評估 從試點項目安全開發體系運行狀態來看，安全需求輸出較以往更加規范化，安全需求覆蓋度顯著提升，測試發現安全漏洞數量明顯下降，實現了應用安全水平提升、安全開發總成本降低的目標。