近期,由中国信息通信研究院、信息通信软件供应链安全社区牵头,中国电信、中国移动、中国联通、中国铁塔、奇安信、绿盟科技、中国电信研究院、东软集团、云起无垠等单位参编的《软件供应链安全能力中心建设指南》正式发布,为我国软件供应链安全能力建设指明了方向,推动了信息安全产业的向前健康发展。
图1 参编名录
党的二十大报告明确提出“着力提升产业链供应链韧性和安全水平”。2023年7月14日至15日,习近平总书记在全国网络安全和信息化工作会议上做出重要指示,提出新时代新征程网信工作的使命任务,为我国网络安全事业进一步锚定了前进航向。
围绕落实党的二十大报告及法律法规要求,提高防范和化解软件供应链安全风险的能力,需积极推进科技创新和应用实践,推动发展高效强大的共性安全技术支撑体系,以有效支撑政策法规、安全标准贯彻落实,助力常态化、体系化软件供应链安全治理体系的建设,筑牢强国建设道路上的网络安全防线。
云起无垠作为新一代AI赋能软件供应链安全实践者,自成立以来,一直专注于软件供应链安全领域的技术研究与产品创新。我们不断致力于构建更为完善的产品和服务解决方案,旨在帮助企业构建更完备的软件供应链安全能力,并解决软供供应链中所面临的软件安全威胁问题。
图2 软件供应链安全能力中心概念
其中,软件供应链安全能力包括供需双方独立建设的安全能力以及共建共享的安全能力。
就供方而言,其软件全生命周期通常包括需求、设计、编码、构建、测试、发布六个阶段,每个阶段均配置了不同的关键能力,如需求阶段的威胁与风险识别;设计阶段的安全框架构建;编码阶段的IDE安全插件;构建阶段的SCA;测试阶段的API测试;发布阶段的数字签名等。
就需方而言,其软件全生命周期通常包括测试、部署、运营三个阶段,每个阶段均配置了不同的关键能力,如测试阶段的模糊测试;部署阶段的配置上线检测;运营阶段的风险管理等。
在软件供应链安全能力建设中,云起无垠构建了以模糊测试、SAST和SCA为核心的产品服务矩阵,帮助企业有效地管理和缓解软件供应链中的安全风险。
无垠智能模糊测试系统:无垠智能模糊测试系统基于模糊测试技术,融合遗传变异算法,结合AIGC研发设计而成,是完全自主产权的灰盒模糊测试系统,系统以源代码、二进制为测试对象,在仿真环境中监控运行时异常状态定位真实缺陷,提供缺陷信息、复现用例和代码修复方案,在软件开发的早期阶段即可引入安全测试环节,为用户真正实现安全左移。
无瑕软件缺陷分析系统:无瑕软件缺陷分析系统是自主研发的源代码静态分析工具,结合深度软件分析方法和深度学习方法,能够检测到大量已有软件安全测试工具无法检测的深层安全漏洞,并有效消除大量误报。
无尘软件成分分析系统:基于SCA、SBOM等技术研发设计了无尘软件成分分析系统。该系统可识别和管理应用程序中使用的各种库、框架和依赖项,以有效地管理和维护软件的安全性和合规性。无尘软件成分分析系统具备丰富的成分分析、风险检测、修复建议和跟踪管理等功能,支持与企业DevOps研发流水线集成关联,在SDLC软件开发全生命周期中,赋能用户在各阶段的风险识别能力,保障企业研发流水线的持续安全合规,提高风险治理效率,降低风险治理成本,提升企业网络安全应急处置能力。
截止目前,云起无垠的产品已经在诸多行业中得到了应用实践,并得到一致好评。如下是某能源集团面向实战攻防演练的漏洞自动挖掘和修复实践便是其中一个典型案例。
1.现实问题
在软件应用生命周期中,修复缺陷的成本随着发现缺陷阶段呈几何级数增长。如果该集团依旧采用先进行开发然后再进行安全测试的方法,不仅会大幅度地拉低生产效率,还会在项目规模急速扩大的情况下,带来更高的修复成本。因此,在开发过程中贯穿“安全左移”行动十分必要,其不仅有助于减少安全问题的发生,还能提升整体产出质量和企业竞争优势。
2.解决方案
为应对这些挑战,云起无垠结合自身安全建设能力和产品帮客户构筑了“服务+工具”的软件开发安全治理框架,保障企业在开发流程源头的安全性,实现“安全左移”,更好地保障业务系统的安全性。
图3 软件代码安全治理框架
1)安全咨询服务云起无垠的开发安全咨询团队结合10年+的研究与实践,采用系统化的软件安全解决思路,帮助能源行业客户培养各环节技术人员相关的安全意识,进行相应的安全需求分析、威胁建模等工作,从服务体系帮助客户进行安全体系建设。
2)开发阶段工具检测DevOps开发模式下,帮助能源行业客户将代码安全,如无垠智能模糊测试系统(Fuzzing)、无瑕软件缺陷分析系统(SAST)、无尘软件成分分析系统(SCA)等工具融入到软件产品开发过程中,真正做到“安全左移”。在需求设计、开发编码、构建集成、测试验证、发布部署、运行监控等环节做好安全检测工作,帮助能源行业客户及时发现安全威胁,以持续修复代码缺陷和安全漏洞。
3.应用效果
经过落地实践,带来了如下几个效果:
1)提升了安全漏洞挖掘能力和修复效率,大大节省了修复成本;
2)通过把成熟的工具和功能内置到平台中,降低了人员招聘要求,从而提升工作效率;
3)降本增效,为公司带来了经济效益。
写在最后
“让软件更安全,让安全更智能”是云起无垠的使命,通过不懈的努力和前瞻性的研究,我们将继续为软件供应链安全领域的发展贡献力量,助力企业应对日益复杂的安全挑战。
