開源軟件供應(yīng)鏈引入的代碼安全問題,引發(fā)了一系列逐年遞增且日趨嚴重的針對軟件供應(yīng)鏈的攻擊事件����。針對這一安全隱患����,奇安信突破開源軟件供應(yīng)鏈安全檢測關(guān)鍵技術(shù)���,并形成產(chǎn)品,實現(xiàn)對基礎(chǔ)軟件供應(yīng)鏈源代碼�、二進制組件等安全檢測及漏洞定位分析能力,提升國產(chǎn)化基礎(chǔ)軟件安全水平�。
作為國內(nèi)外少有的專門針對開源軟件供應(yīng)鏈安全的研究和產(chǎn)業(yè)化項目,“奇安信開源軟件供應(yīng)鏈安全檢測關(guān)鍵技術(shù)與產(chǎn)業(yè)化應(yīng)用”基于自主技術(shù)研發(fā)智能化軟件數(shù)據(jù)收集與分析引擎�����,具備多源數(shù)據(jù)海量信息環(huán)境下開源軟件信息收集�����、覆蓋全部軟件形態(tài)的精確成分識別�、漏洞庫聯(lián)動檢測深度關(guān)聯(lián)分析等能力,提供開源軟件資產(chǎn)識別��、漏洞風(fēng)險分析���、協(xié)議風(fēng)險分析����、運維風(fēng)險分析和漏洞情報預(yù)警等功能,助力用戶及時掌握軟件資產(chǎn)信息����,降低開源軟件及其組件帶來的軟件供應(yīng)鏈風(fēng)險。
據(jù)介紹����,該項目有三大創(chuàng)新點,其一是基于定向爬蟲和預(yù)處理動態(tài)反饋的代碼基準庫自動化構(gòu)建方法����,整條技術(shù)路線實現(xiàn)了高度自動化、高度精確的開源軟件數(shù)據(jù)收集��,并將人工的參與度降到最低��,避免了人工介入產(chǎn)生的錯誤�;其二是基于項目和代碼結(jié)構(gòu)及語義的多級別特征提取技術(shù),保證比對分析的高效快速���;其三是采用基于多級特征值的高效代碼識別匹配技術(shù)���,提高相似性判定的效率與準確度�����。
在北京冬奧會和冬殘奧會期間���,該項目成果也應(yīng)用與軟件供應(yīng)鏈安全預(yù)警工具的升級工作。針對冬奧網(wǎng)絡(luò)安全環(huán)境中軟件來源復(fù)雜��、安全窗口短暫的需求���,通過模塊化能力擴展,將開源軟件識別數(shù)量從800萬提高至3000萬����,可識別的開源代碼模塊數(shù)量從2萬提高到超過8萬,漏洞庫中包含的漏洞數(shù)量從3萬提升到12萬���,明顯增強了對冬奧賽事系統(tǒng)軟件供應(yīng)鏈的安全預(yù)警能力�。
目前����,“奇安信開源軟件供應(yīng)鏈安全檢測關(guān)鍵技術(shù)與產(chǎn)業(yè)化應(yīng)用”已經(jīng)在政府����、銀行���、證券���、保險、運營商�����、能源�����、交通等行業(yè)的300多家機構(gòu)中落地�,累計為客戶檢測30多萬個項目,100多億行代碼���,發(fā)現(xiàn)了2000多萬個安全隱患�����,有效助力企業(yè)構(gòu)建自身代碼安全保障體系�����,歷經(jīng)實戰(zhàn)檢驗具備良好的應(yīng)用推廣價值����。
在本屆數(shù)博會“數(shù)博發(fā)布”環(huán)節(jié),奇安信集團安全專家發(fā)布了奇安信集團落地貴陽�����,通過貴州數(shù)安奇天網(wǎng)絡(luò)安全服務(wù)有限公司負責(zé)運營的態(tài)勢感知與安全服務(wù)平臺����。平臺從智慧城市、安全運營角度出發(fā)�����,提供“1+1+N”的整體解決方案����,通過網(wǎng)絡(luò)安全運營中心技術(shù)人員的安全運營服務(wù)����,以服務(wù)的形勢把安全能力賦予最終用戶��。平臺目前已在貴陽市經(jīng)開區(qū)國家大數(shù)據(jù)靶場本地落地建成��,并投入運行中�����。
此外����,“奇安信冬奧網(wǎng)絡(luò)安全應(yīng)急響應(yīng)95015公共服務(wù)平臺”“奇安信態(tài)勢感知與安全運營平臺”在本次評選中分別獲得“商業(yè)模式獎”和“優(yōu)秀成果獎”�����。
