北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后，荣获“国家高新技术企业”和“中关村高新技术企业”认定，实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础，是调整产业结构、提高国家竞争力的生力军，在我国经济发展中占有十分重要的战略地位，一直受到各级政府的高度重视、鼓励和支持。按照规定，只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核，通过一系列严格的要求，包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察，最终确定是否可以获得资质认定，是国家为支持高新企业发展，提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定，是国家对企业在科技创新上的认可和支持，同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心，以市场发展为导向，积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍，加强科技成果转化应用能力，助推公司高质量发展，助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具，支持多种开发语言的安全缺陷检测，兼容多种国产化环境，帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

从传统的软件开发到集成人工智能(AI)和机器学习(ML)的演变可以说是革命性的。随着人工智能的不断普及，人工智能技术对企业乃至我们的日常生活变得越来越重要，根据ISC2的研究，人工智能最有可能接管用户行为模式的分析(81%)、重复性任务的自动化(75%)、网络流量和恶意软件的监控(71%)、薄弱环节的预测(62%)以及检测和阻止威胁(62%)。随着人工智能的广泛使用，其带来安全问题的复杂性、真实性和数量可能会大幅度提高。一个令人担忧的趋势是，网络攻击者以代码和图像存储库为目标，旨在向软件供应链注入恶意软件。这种策略不仅损害了软件的完整性，而且对依赖这些应用程序进行关键操作的最终用户和组织构成了重大风险。数据中毒的威胁对人工智能模型的完整性提出了险恶的挑战。通过将恶意修改的代码和数据引入训练集，攻击者可以操纵人工智能系统的行为，导致长期影响，因为有毒数据持续存在于机器学习模型中。这种阴险的攻击形式凸显了保持警惕和强大的安全措施在保护推动人工智能和机器学习创新的数据方面的重要性。在开发安全中，通过DevSecOps实践更有力的创建安全软件。这些方法是解决人工智能和机器学习安全所面临的熟悉挑战的宝贵经验。在过去五年多的时间里，DevSecOps 已成为我们开发和保护软件的主要方式，通过软件和安全团队之间的协作，以及将改进的安全实践嵌入到开发过程的每个阶段。这种集成方法帮助我们提高了软件产品的安全性，并提高了安全和软件工程师之间的安全可见性。DevSecOps 的原则和成功案例同样可以指导 AI 和 ML 模型的安全开发和部署。AI和ML模型不断学习和进化，AISecOps将DevSecOps原则应用于AI/ML和生成式AI，意味着将安全性集成到这些模型的生命周期中——从设计、培训到部署和监控。持续的安全实践，如实时漏洞扫描和自动威胁检测、数据和模型存储库的安全检测和保护措施，对于防范不断发展的威胁至关重要。DevSecOps的核心原则之一是培养开发、安全和运营团队之间的协作文化。这种多学科方法在AISecOps的背景下更为重要，因为开发人员、数据科学家、人工智能研究人员和网络安全专业人员需要共同努力识别和减轻风险。协作和开放的沟通可以加速漏洞的识别和修复。数据是 AI 和 ML 模型的命脉。确保用于训练和推理的数据的完整性和机密性至关重要。DevSecOps 强调了安全数据处理实践(如加密、访问控制和匿名化技术)对于保护敏感信息和防止数据中毒攻击的重要性。在AI和ML开发一开始就将安全考虑进去，符合对道德人工智能的日益重视，确保模型不仅安全，而且公平、透明和负责任。在设计阶段纳入安全和道德准则有助于在人工智能系统中建立信任和弹性。人工智能和机器学习技术带来的安全挑战很复杂，但对我们来说并不陌生。通过将DevSecOps的安全经验应用到AISecOps中，我们可以通过提高人工智能和人工智能数据安全可见性的方法来应对这些挑战，并强调持续安全、协作、安全数据实践和设计安全性。 我们的未来是人工智能驱动的，网络安全和人工智能专业人员需要齐心协力，为这些变革性技术奠定基础。我们要释放人工智能和机器学习的全部潜力，同时确保所有利益相关者的安全、隐私和信任。

静态代码安全测试工具主要应用在软件开发阶段，用来检测源代码中是否存在安全缺陷或编码规范问题等，主要应用在以下几个方面：代码质量控制： 静态代码检测工具可以帮助开发团队在编码过程中发现潜在的代码质量问题，如代码规范性、安全漏洞、性能问题等，提高整体代码质量。安全漏洞检测： 静态代码检测工具能够检测代码中的安全漏洞，如可能导致 SQL 注入、跨站脚本攻击等问题，帮助开发团队及时修复潜在的安全风险。规范性检查： 静态代码检测工具能够根据事先设定的编码规范或最佳实践，检查代码是否符合规范，有助于保持团队的统一代码风格，提高代码的可读性和可维护性。国产静态代码安全测试工具WuKong是一款可适配国产环境的静态代码安全测试工具，拥有自主研发技术，结合深度学习和机器学习等方法，大大提高测试准确率，通过深度分析方法分析指针别名关系发掘更多深层次安全漏洞。工具采用B/S架构，界面友好易于理解和操作，支持检测多种语言代码，支持C、C++、JAVA、Python、PHP、JavaScript、HTML、JSP、XML、C#等主流开发语言。支持以多种上传方式进行检测，如zip压缩包上传，SVN/GIT形式拉取代码检测，以TFS、共享目录、FTP形式直接访问代码等。在安全漏洞及缺陷等问题上，不但可以检测缓冲区溢出、中断的数据竞争和死锁等并发错误及内存泄漏等错误在内的运行时缺陷，也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞，支持跨文件跨函数的线程间共享变量数据竞争问题的检测。工具支持的检测标准包括国家标准GB/T34943、GB/T34944、国军标规范 GJB5369、8114和行业标准SJ/T 11682-2017、SJ/T 11683-2017等的检测;国际标准OWASP Top 10、CWE Top 25、Cert C、ISO17961、MISRA C2012等。工具支持国产化环境，如龙芯、鲲鹏、飞腾、申威、统信和海光等。可进行灵活自定义规则，可集成在开发流程中。对于检测结果，可以进行人工复核并进行标注，可导出不同格式的检测报告，并且可自定义检测报告内容。 静态代码安全测试工具适用领域广泛，如政府机关、金融科技、科研院所、软件研发等企业单位。当前，软件供应链安全问题突出，在开发流程中集成静态代码测试工具不但可以降低软件中的安全隐患，还能提高代码规范性和安全性，便于后期维护。