Goodbye SDLC, Hello ADLC: How Will AppSec Adapt? 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述就行。首先，我需要通读整篇文章，理解它的主要观点和结构。 文章主要讨论了软件开发生命周期（SDLC）对应用安全的影响。传统上，SDLC假设代码是由人类编写，并且有明确的阶段和停顿点，在这些点上进行安全审查。但现在，随着AI的介入，代码生成和修改变得更加自动化和持续化，传统的SDLC模型已经不再适用。 文章引入了Agentic Development Lifecycle（ADLC），这是一种新的开发方法论，结合了人类和AI系统的工作。在这种模型下，代码的变化是持续的、快速的，传统的安全控制点如阶段审查、集中式审查等变得不再有效。因此，应用安全必须适应这种变化，转向持续的安全监控和自动化工具。 接下来，我需要将这些要点浓缩到100字以内。要确保涵盖传统SDLC的局限性、AI带来的变化、ADLC的概念以及对应用安全的影响。同时要注意语言简洁明了。 可能的结构是：先说明传统SDLC对AppSec的影响已过时，然后引入AI带来的变化和ADLC的概念，最后指出AppSec需要转向持续监控和自动化工具。 现在试着组织语言： “传统软件开发生命周期（SDLC）对应用安全的影响已过时。AI推动代码生成与修改自动化，使开发进入持续循环。新的Agentic Development Lifecycle（ADLC）要求应用安全实时监控并自动化处理风险。” 这样大约在40字左右，可能还可以加入更多细节： “传统软件开发生命周期（SDLC）对应用安全的影响已过时。AI推动代码生成与修改自动化，使开发进入持续循环。新的Agentic Development Lifecycle（ADLC）要求应用安全实时监控并自动化处理风险。” 或者： “传统软件开发生命周期（SDLC）对应用安全的影响已过时。AI推动代码生成与修改自动化，使开发进入持续循环。新的Agentic Development Lifecycle（ADLC）要求应用安全实时监控并自动化处理风险。” 这样应该符合用户的要求。 </think> 传统软件开发生命周期（SDLC）对应用安全的影响已过时。AI推动代码生成与修改自动化，使开发进入持续循环。新的Agentic Development Lifecycle（ADLC）要求应用安全实时监控并自动化处理风险。... 2026-1-26 18:49:33 | 阅读: 11 | 收藏 | Checkmarx.com - checkmarx.com security appsec development adlc developers

“Stranger Things” Happen with Today’s Software 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头，直接写描述。首先，我需要仔细阅读这篇文章，理解它的主要观点和结构。 文章一开始用《怪奇物语》的比喻来引入主题，说明软件开发的变化。过去软件栈简单，现在变得复杂，充满了各种服务和不可预测的组件。这让我想到，作者可能想强调复杂性带来的安全风险。 接下来，文章提到Checkmarx作为一个安全平台，帮助开发者早期发现漏洞。这说明文章的重点在于应用安全的重要性以及开发者在其中的角色转变。 然后，文章引用了Stack Overflow的调查结果，显示安全是开发者的首要考虑因素。这进一步支持了安全不再是可选的观点。 最后，文章讨论了AI生成代码的影响以及Checkmarx如何通过实时智能代理帮助开发者预防漏洞。这表明未来的发展趋势是智能化的安全工具。 综合来看，文章主要讲述了软件开发的复杂性增加导致安全风险上升，开发者角色从单纯的编码转向防御代码的安全问题，并且Checkmarx提供了相应的解决方案。因此，在总结时需要涵盖这些关键点：复杂性、安全风险、开发者责任、Checkmarx的作用以及AI的影响。 现在我需要把这些要点浓缩到100字以内，并且保持语言简洁明了。可能的结构是先讲变化带来的复杂性和风险，然后提到开发者的新角色和Checkmarx的作用。 比如：“软件开发日益复杂化带来安全挑战。过去简单的栈结构演变为庞大的服务生态系统。开发者需承担更多防御责任。Checkmarx提供实时智能工具协助识别漏洞。”这样大概在100字左右，并且涵盖了主要观点。 </think> 软件开发日益复杂化带来安全挑战。过去简单的栈结构演变为庞大的服务生态系统。开发者需承担更多防御责任。Checkmarx提供实时智能工具协助识别漏洞。... 2026-1-20 21:12:25 | 阅读: 9 | 收藏 | Checkmarx.com - checkmarx.com security developers software checkmarx upside

AI Query Builder for SAST: Now Generally Available 随着AI在开发中的广泛应用，Checkmarx推出AI Query Builder支持SAST定制化检测。该工具通过自然语言生成CxQL查询并快速迭代优化，解决传统SAST无法检测自定义代码的问题，提升检测准确性与效率。... 2026-1-15 12:25:34 | 阅读: 11 | 收藏 | Checkmarx.com - checkmarx.com security developers checkmarx development

The AI Inventory Gap: Why Your Organization has no Idea what AI assets are Part of Your Software Supply Chain 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要观点。 文章主要讨论了AI资产在软件供应链中的风险。开发者已经在应用中嵌入了各种AI组件，比如模型、数据集、代理框架等。这些资产一旦进入代码库，就成为软件供应链的一部分，可能带来安全风险，如数据中毒、恶意权重等。 接下来，文章指出组织缺乏对这些AI组件的可见性和治理能力。开发者快速采用AI工具，而治理措施跟不上，导致合规和安全问题。最后，文章建议组织明确责任人、建立清单、制定政策等措施来应对这些挑战。 总结时要涵盖AI资产的风险、缺乏治理的问题以及解决方案。控制在100字以内，所以需要简洁明了。 </think> 文章指出AI资产（如模型、数据集、代理框架）已悄然融入软件供应链，带来潜在风险（如数据中毒、恶意权重）。组织普遍缺乏对AI组件的可见性和治理能力，导致合规与安全问题。建议通过明确责任人、建立清单和制定政策来应对挑战。... 2026-1-11 10:42:46 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com software governance security developers agents

The ROI of Agentic AI AppSec 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内。他特别强调不需要以“文章内容总结”或“这篇文章”这样的开头，直接写描述即可。看起来用户可能是在准备一个简短的汇报或者需要快速了解文章的核心内容。 首先，我需要通读这篇文章，理解其主要观点。文章讨论了在AI时代，应用安全（AppSec）如何通过集成开发环境（IDE）中的智能工具来提升开发效率和安全性。它提到了五个关键的价值点：平均修复时间、吞吐量、误报减少、返工成本和开发者体验。这些指标帮助量化了使用这种新方法带来的投资回报率（ROI）。 接下来，我要确保总结既准确又简洁。可能需要突出AI工具如何在开发过程中实时检测和修复漏洞，从而减少后续问题和成本。同时，强调这些改进如何转化为可衡量的业务优势，比如更快的发布周期和更高的代码质量。 最后，检查字数是否控制在100字以内，并确保语言流畅自然，没有使用用户禁止的开头方式。 </think> 文章探讨了AI时代应用安全（AppSec）的新模式——通过IDE内置的智能工具实时检测与修复漏洞，减少误报、返工及开发摩擦。该模式量化了五个关键指标（MTTR、吞吐量、误报拖累、返工成本及开发者体验），构建了一个从工程效率到财务回报的完整ROI模型，展示了AI驱动的安全如何提升开发速度与质量。... 2025-12-29 18:20:11 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com developer assist security appsec roi

The Executive Guide to Quantifying Agentic AppSec ROI, From IDE Metrics to Board-Ready Numbers Checkmarx One 的 Developer Assist 通过在 IDE 中嵌入实时修复功能，帮助企业在减少返工、加速交付和降低误报率等方面提升效率和质量。该工具将技术指标转化为可衡量的业务成果，如提高开发速度、降低运营成本和增强代码稳定性。... 2025-12-29 17:54:26 | 阅读: 5 | 收藏 | Checkmarx.com - checkmarx.com developer assist security agentic appsec

Future of DAST: Why AI-Generated Code Demands a New Strategy AI加速软件开发的同时暴露了传统安全工具的不足，DAST因能检测实时运行中的漏洞而重新崛起，成为AI时代应用安全的关键工具。... 2025-12-24 15:6:49 | 阅读: 8 | 收藏 | Checkmarx.com - checkmarx.com dast security appsec frank simon

Bringing IDE-Native AppSec to Kiro with Checkmarx One Assist 嗯，用户让我用中文总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读这篇文章，理解它的主要内容和重点。 文章主要讲的是AWS Kiro这个新的IDE如何影响开发者的安全思维。它提到Kiro结合了快速反馈、AI辅助编码和VS Code的体验，但同时也带来了更高的风险，因为代码写得更快，依赖更多，漏洞出现得更早。 然后文章讨论了安全工具需要在IDE内部工作，而不是下游的CI/CD管道或外部仪表盘。开发者需要实时发现问题，并且不需要切换上下文。接着介绍了Checkmarx One Assist如何集成到Kiro中，安装配置简单，并且能够实时分析代码和依赖项，在IDE内提供安全见解。 最后，文章还提到这些见解也会在Checkmarx One平台上显示，方便安全团队进行整体监控和协调。 所以总结下来，文章主要讲的是Kiro带来的开发速度提升及其带来的安全挑战，以及Checkmarx如何通过集成到Kiro中提供实时的安全分析，帮助开发者在编码时就发现问题，并且保持与组织安全策略的一致性。 现在要控制在100字以内，直接描述内容。可能需要突出Kiro的特点、安全工具的重要性以及Checkmarx的作用。 </think> 文章探讨了AWS Kiro如何通过快速反馈和AI辅助编码提升开发效率,同时也带来了更高的安全风险。为应对这一挑战,Checkmarx One Assist被集成到Kiro中,实现实时代码分析和安全洞察,帮助开发者在编码过程中及时发现并修复问题,同时保持与组织安全策略的一致性。... 2025-12-23 10:14:24 | 阅读: 8 | 收藏 | Checkmarx.com - checkmarx.com checkmarx assist security kiro developers

Your New Teammate Doesn’t Eat Pizza 文章探讨了AI作为虚拟同事在软件开发中的角色及其对团队生产力和安全的影响。Checkmarx通过Agentic AI技术，在IDE中嵌入自主代理，实时检测和修复代码问题，并结合统一平台提升应用安全性。AI不仅提高了效率，还应对了日益复杂的网络攻击挑战。... 2025-12-18 16:47:59 | 阅读: 7 | 收藏 | Checkmarx.com - checkmarx.com security teammates agents checkmarx assist

Leading the Shift to a Continuous Agentic AppSec: Checkmarx Acquires Tromzo 文章指出AI代码生成正在改变软件开发速度和规模，传统应用安全方法已无法应对。Checkmarx收购Tromzo后整合其AI技术，推出智能应用安全解决方案，在代码生成、漏洞检测、风险评估和自动修复等方面实现全生命周期覆盖。该方案结合代码、云环境和业务数据进行深度分析和自主决策，为复杂企业级应用提供更高效的安全保障。... 2025-12-8 23:0:28 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com checkmarx appsec tromzo security agents

Checkmarx Influencer 2026 Predictions 文章探讨了人工智能加速在线活动带来的风险与机遇，并预测2026年应用安全将转向持续智能和自动化防御。重点包括信任机器生成代码、软件供应链风险、模型恶意软件及开发者工具集成。... 2025-12-2 08:24:55 | 阅读: 12 | 收藏 | Checkmarx.com - checkmarx.com security appsec developers 2026 llms

The Agentic Future of AppSec: Measuring Impact and Securing the AI-Powered SDLC 生成式AI加速软件开发的同时带来新安全挑战。传统AppSec难以应对，因此提出Agentic AppSec，在代码编写时实时保护，并结合AI与政策确保速度、质量和安全性。... 2025-11-30 12:28:25 | 阅读: 8 | 收藏 | Checkmarx.com - checkmarx.com security appsec agentic assist developer

Confronting Insecure Shadow AI: Six Must-Have Capabilities 好的，我现在需要帮用户总结一篇文章，控制在100字以内。首先，我得仔细阅读文章内容，理解其主要观点。 文章主要讨论生成式AI如何改变软件交付速度，但同时也带来了安全和治理的挑战。传统安全工具无法应对AI生成代码的问题，因此提出了“能动型应用安全”（Agentic AppSec）的概念。这种新方法实时分析代码，防止漏洞在开发阶段就被引入。 接下来，我需要提取关键点：生成式AI的影响、传统工具的不足、能动型AppSec的优势以及其带来的好处。然后，把这些点浓缩成简短的句子，确保不超过100字。 最后，检查语言是否流畅自然，避免使用复杂的术语，让用户容易理解。 </think> 生成式AI改变了软件开发流程,提升了效率,但传统安全工具无法应对AI生成代码带来的风险。"能动型应用安全"通过实时分析代码、理解开发意图,在编码阶段阻止漏洞,实现更高效的开发与安全平衡。... 2025-11-30 12:28:1 | 阅读: 7 | 收藏 | Checkmarx.com - checkmarx.com appsec agentic developer developers security

Why Context Is the New Code: Building AI-Resilient AppSec From the IDE 嗯，用户让我用中文总结这篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述即可。 首先，我需要通读整篇文章，抓住主要观点。文章主要讲的是AI如何改变软件交付过程，特别是在应用安全方面。传统安全工具无法追踪代码的来源和意图，而AI驱动的安全工具能够实时监控代码生成过程，填补了这些空白。 接下来，我需要提炼关键点：AI改变了软件开发方式，传统安全工具失效，新的安全方法强调上下文的重要性，包括代码的来源、意图、依赖、政策和AI行为。这些维度帮助实时监控和保障安全。 然后，控制在100字以内。要简洁明了，涵盖主要变化和解决方案。 最后，确保语言流畅自然，不使用复杂的术语。 </think> AI改变了软件开发方式，传统安全工具失效。新的安全方法强调上下文的重要性：代码的来源、意图、依赖、政策和AI行为。这些维度帮助实时监控和保障安全。... 2025-11-30 12:27:11 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com security developer appsec developers assist

GenAI Software Supply Chain Security Gap: Why Traditional AppSec Can’t Keep Up 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，抓住主要观点。 文章主要讲的是生成式AI在软件开发中的应用带来的变化和安全风险。生成式AI工具如GitHub Copilot等提高了开发效率，但也引入了新的漏洞。传统安全工具在代码提交后扫描，但AI生成的代码可能在提交前就存在风险，传统工具无法及时发现。 接下来，文章提到新的攻击向量，如LITL、提示注入和Shadow AI，这些是传统安全措施无法应对的。因此，安全措施需要前移，在代码生成时就进行实时检测和修复。 总结时要涵盖生成式AI的影响、新漏洞类型、传统工具的不足以及解决方案。控制在100字以内，所以需要简洁明了地表达这些要点。 </think> 生成式AI改变了软件供应链，提高了开发效率但引入新风险。AI生成代码可能包含逻辑错误、不安全默认配置和未验证依赖项，在提交前就引入漏洞。传统安全工具依赖于提交后扫描，无法及时检测这些风险。新的攻击向量如提示注入和影子AI进一步加剧威胁。安全需前移至代码生成阶段，在IDE中实时验证逻辑和依赖项以应对这些挑战。... 2025-11-30 12:26:23 | 阅读: 8 | 收藏 | Checkmarx.com - checkmarx.com security software assistants developer

How Checkmarx Defends Against the Shai-Hulud Second Coming Malicious Package Campaign 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是2025年11月24日针对NPM开源包仓库的一次重大攻击事件。这次攻击被称为“Shai-Hulud Second Coming”，是之前攻击的升级版。恶意软件会窃取开发者的工作站和CI/CD环境中的GitHub、NPM等凭证，然后利用这些凭证感染其他包和仓库，导致自我传播。如果无法获取凭证，它还会删除用户的主目录，造成破坏。 Checkmarx公司迅速响应，推出了恶意包保护系统（MPP）和API（MPIAPI），帮助客户检测和阻止恶意包的安装。他们的数据库是全球最大的经过人工验证的恶意包数据库，覆盖多个生态系统。 用户的要求是用中文总结，不超过100字，并且不需要特定的开头。所以我要提炼出关键点：时间、攻击名称、影响、Checkmarx的应对措施。 可能的结构：时间 + 攻击名称 + 影响 + Checkmarx的解决方案。 现在整合这些信息： 2025年11月24日，NPM遭受重大攻击“Shai-Hulud Second Coming”，导致恶意软件传播并破坏开发者环境。Checkmarx通过MPP和API提供实时检测和阻止功能，保护客户安全。 这样控制在100字以内，并且涵盖了主要事件和应对措施。 </think> 2025年11月24日，NPM开源包仓库遭受重大攻击“Shai-Hulud Second Coming”，导致恶意软件传播并破坏开发者环境。Checkmarx通过MPP和API提供实时检测和阻止功能，保护客户安全。... 2025-11-30 05:49:1 | 阅读: 16 | 收藏 | Checkmarx.com - checkmarx.com malicious checkmarx software shai developer

The Future of DAST A Brief... 2025-11-24 17:44:28 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com dast security developer appsec checkmarx

Safe Refactor: The Faster, Safer Way To Upgrade Vulnerable Packages Ask any d... 2025-11-24 15:17:3 | 阅读: 7 | 收藏 | Checkmarx.com - checkmarx.com refactor developers developer codebase malicious

Revolutionizing SCA with Agentic AI: How Checkmarx Developer Assist Transforms Open-Source Security within the IDE Revolutio... 2025-11-19 14:22:6 | 阅读: 10 | 收藏 | Checkmarx.com - checkmarx.com developer security assist developers refactor

Pre-Commit or Pay Later: The New Cost of AI-Era AppSec AI made... 2025-11-18 11:32:47 | 阅读: 12 | 收藏 | Checkmarx.com - checkmarx.com developer security assist developers tax