開源軟件供應(yīng)鏈引入的代碼安全問題,引發(fā)了一系列逐年遞增且日趨嚴(yán)重的針對(duì)軟件供應(yīng)鏈的攻擊事件�。針對(duì)這一安全隱患,奇安信突破開源軟件供應(yīng)鏈安全檢測(cè)關(guān)鍵技術(shù)����,并形成產(chǎn)品,實(shí)現(xiàn)對(duì)基礎(chǔ)軟件供應(yīng)鏈源代碼����、二進(jìn)制組件等安全檢測(cè)及漏洞定位分析能力,提升國(guó)產(chǎn)化基礎(chǔ)軟件安全水平��。
作為國(guó)內(nèi)外少有的專門針對(duì)開源軟件供應(yīng)鏈安全的研究和產(chǎn)業(yè)化項(xiàng)目����,“奇安信開源軟件供應(yīng)鏈安全檢測(cè)關(guān)鍵技術(shù)與產(chǎn)業(yè)化應(yīng)用”基于自主技術(shù)研發(fā)智能化軟件數(shù)據(jù)收集與分析引擎,具備多源數(shù)據(jù)海量信息環(huán)境下開源軟件信息收集���、覆蓋全部軟件形態(tài)的精確成分識(shí)別�、漏洞庫(kù)聯(lián)動(dòng)檢測(cè)深度關(guān)聯(lián)分析等能力,提供開源軟件資產(chǎn)識(shí)別�、漏洞風(fēng)險(xiǎn)分析、協(xié)議風(fēng)險(xiǎn)分析��、運(yùn)維風(fēng)險(xiǎn)分析和漏洞情報(bào)預(yù)警等功能�,助力用戶及時(shí)掌握軟件資產(chǎn)信息,降低開源軟件及其組件帶來的軟件供應(yīng)鏈風(fēng)險(xiǎn)����。
據(jù)介紹,該項(xiàng)目有三大創(chuàng)新點(diǎn)�,其一是基于定向爬蟲和預(yù)處理動(dòng)態(tài)反饋的代碼基準(zhǔn)庫(kù)自動(dòng)化構(gòu)建方法,整條技術(shù)路線實(shí)現(xiàn)了高度自動(dòng)化�����、高度精確的開源軟件數(shù)據(jù)收集�����,并將人工的參與度降到最低�,避免了人工介入產(chǎn)生的錯(cuò)誤;其二是基于項(xiàng)目和代碼結(jié)構(gòu)及語義的多級(jí)別特征提取技術(shù)�,保證比對(duì)分析的高效快速����;其三是采用基于多級(jí)特征值的高效代碼識(shí)別匹配技術(shù)�,提高相似性判定的效率與準(zhǔn)確度�。
在北京冬奧會(huì)和冬殘奧會(huì)期間,該項(xiàng)目成果也應(yīng)用與軟件供應(yīng)鏈安全預(yù)警工具的升級(jí)工作����。針對(duì)冬奧網(wǎng)絡(luò)安全環(huán)境中軟件來源復(fù)雜、安全窗口短暫的需求�,通過模塊化能力擴(kuò)展,將開源軟件識(shí)別數(shù)量從800萬提高至3000萬���,可識(shí)別的開源代碼模塊數(shù)量從2萬提高到超過8萬��,漏洞庫(kù)中包含的漏洞數(shù)量從3萬提升到12萬�,明顯增強(qiáng)了對(duì)冬奧賽事系統(tǒng)軟件供應(yīng)鏈的安全預(yù)警能力�。
目前,“奇安信開源軟件供應(yīng)鏈安全檢測(cè)關(guān)鍵技術(shù)與產(chǎn)業(yè)化應(yīng)用”已經(jīng)在政府��、銀行���、證券�����、保險(xiǎn)��、運(yùn)營(yíng)商��、能源�����、交通等行業(yè)的300多家機(jī)構(gòu)中落地�����,累計(jì)為客戶檢測(cè)30多萬個(gè)項(xiàng)目��,100多億行代碼�,發(fā)現(xiàn)了2000多萬個(gè)安全隱患,有效助力企業(yè)構(gòu)建自身代碼安全保障體系��,歷經(jīng)實(shí)戰(zhàn)檢驗(yàn)具備良好的應(yīng)用推廣價(jià)值��。
在本屆數(shù)博會(huì)“數(shù)博發(fā)布”環(huán)節(jié)����,奇安信集團(tuán)安全專家發(fā)布了奇安信集團(tuán)落地貴陽��,通過貴州數(shù)安奇天網(wǎng)絡(luò)安全服務(wù)有限公司負(fù)責(zé)運(yùn)營(yíng)的態(tài)勢(shì)感知與安全服務(wù)平臺(tái)��。平臺(tái)從智慧城市���、安全運(yùn)營(yíng)角度出發(fā)��,提供“1+1+N”的整體解決方案�����,通過網(wǎng)絡(luò)安全運(yùn)營(yíng)中心技術(shù)人員的安全運(yùn)營(yíng)服務(wù)�����,以服務(wù)的形勢(shì)把安全能力賦予最終用戶����。平臺(tái)目前已在貴陽市經(jīng)開區(qū)國(guó)家大數(shù)據(jù)靶場(chǎng)本地落地建成,并投入運(yùn)行中�。
此外,“奇安信冬奧網(wǎng)絡(luò)安全應(yīng)急響應(yīng)95015公共服務(wù)平臺(tái)”“奇安信態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)”在本次評(píng)選中分別獲得“商業(yè)模式獎(jiǎng)”和“優(yōu)秀成果獎(jiǎng)”����。
