開源軟件供應鏈引入的代碼安全問題,引發(fā)了一系列逐年遞增且日趨嚴重的針對軟件供應鏈的攻擊事件����。針對這一安全隱患�,奇安信突破開源軟件供應鏈安全檢測關鍵技術���,并形成產(chǎn)品,實現(xiàn)對基礎軟件供應鏈源代碼����、二進制組件等安全檢測及漏洞定位分析能力,提升國產(chǎn)化基礎軟件安全水平。
作為國內外少有的專門針對開源軟件供應鏈安全的研究和產(chǎn)業(yè)化項目����,“奇安信開源軟件供應鏈安全檢測關鍵技術與產(chǎn)業(yè)化應用”基于自主技術研發(fā)智能化軟件數(shù)據(jù)收集與分析引擎,具備多源數(shù)據(jù)海量信息環(huán)境下開源軟件信息收集����、覆蓋全部軟件形態(tài)的精確成分識別、漏洞庫聯(lián)動檢測深度關聯(lián)分析等能力���,提供開源軟件資產(chǎn)識別��、漏洞風險分析����、協(xié)議風險分析����、運維風險分析和漏洞情報預警等功能,助力用戶及時掌握軟件資產(chǎn)信息���,降低開源軟件及其組件帶來的軟件供應鏈風險�。
據(jù)介紹�,該項目有三大創(chuàng)新點,其一是基于定向爬蟲和預處理動態(tài)反饋的代碼基準庫自動化構建方法,整條技術路線實現(xiàn)了高度自動化�、高度精確的開源軟件數(shù)據(jù)收集,并將人工的參與度降到最低�,避免了人工介入產(chǎn)生的錯誤;其二是基于項目和代碼結構及語義的多級別特征提取技術�����,保證比對分析的高效快速��;其三是采用基于多級特征值的高效代碼識別匹配技術���,提高相似性判定的效率與準確度。
在北京冬奧會和冬殘奧會期間�,該項目成果也應用與軟件供應鏈安全預警工具的升級工作。針對冬奧網(wǎng)絡安全環(huán)境中軟件來源復雜�����、安全窗口短暫的需求���,通過模塊化能力擴展��,將開源軟件識別數(shù)量從800萬提高至3000萬���,可識別的開源代碼模塊數(shù)量從2萬提高到超過8萬�����,漏洞庫中包含的漏洞數(shù)量從3萬提升到12萬���,明顯增強了對冬奧賽事系統(tǒng)軟件供應鏈的安全預警能力。
目前���,“奇安信開源軟件供應鏈安全檢測關鍵技術與產(chǎn)業(yè)化應用”已經(jīng)在政府�����、銀行�����、證券��、保險�、運營商��、能源���、交通等行業(yè)的300多家機構中落地�����,累計為客戶檢測30多萬個項目�����,100多億行代碼�,發(fā)現(xiàn)了2000多萬個安全隱患,有效助力企業(yè)構建自身代碼安全保障體系�,歷經(jīng)實戰(zhàn)檢驗具備良好的應用推廣價值。
在本屆數(shù)博會“數(shù)博發(fā)布”環(huán)節(jié)���,奇安信集團安全專家發(fā)布了奇安信集團落地貴陽,通過貴州數(shù)安奇天網(wǎng)絡安全服務有限公司負責運營的態(tài)勢感知與安全服務平臺���。平臺從智慧城市���、安全運營角度出發(fā),提供“1+1+N”的整體解決方案��,通過網(wǎng)絡安全運營中心技術人員的安全運營服務��,以服務的形勢把安全能力賦予最終用戶。平臺目前已在貴陽市經(jīng)開區(qū)國家大數(shù)據(jù)靶場本地落地建成��,并投入運行中�。
此外,“奇安信冬奧網(wǎng)絡安全應急響應95015公共服務平臺”“奇安信態(tài)勢感知與安全運營平臺”在本次評選中分別獲得“商業(yè)模式獎”和“優(yōu)秀成果獎”�����。
