近日,云起無(wú)垠無(wú)垠代碼模糊測(cè)試系統(tǒng)參與了中國(guó)信通院《模糊測(cè)試架構(gòu)能力要求》標(biāo)準(zhǔn)評(píng)估?!赌:郎y(cè)試架構(gòu)能力要求》為了以更標(biāo)準(zhǔn)的形式來(lái)驗(yàn)證模糊測(cè)試產(chǎn)品的安全能力,其標(biāo)準(zhǔn)規(guī)范了黑盒、灰盒模糊測(cè)試的平臺(tái)能力及引擎能力,共包含了4個(gè)能力域、28個(gè)能力項(xiàng)、246個(gè)能力指標(biāo),提供了模糊測(cè)試平臺(tái)能力建設(shè)的全方針指導(dǎo)。根據(jù)模糊測(cè)試平臺(tái)在不同能力域的綜合表現(xiàn),分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)、先進(jìn)級(jí)3個(gè)能力等級(jí)。
經(jīng)過(guò)中國(guó)信通院的檢驗(yàn),無(wú)垠代碼模糊測(cè)試系統(tǒng)以最高分通過(guò)了《模糊測(cè)試架構(gòu)能力要求》的指標(biāo)檢驗(yàn),其灰盒平臺(tái)能力域和灰盒引擎能力域,均達(dá)到了模糊測(cè)試技術(shù)分級(jí)能力評(píng)估的“先進(jìn)級(jí)”要求,產(chǎn)品能力得到了高度認(rèn)可。
圖1 能力檢驗(yàn)證書
軟件是新一代信息技術(shù)的靈魂,是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ),是制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)建設(shè)的關(guān)鍵支撐。目前,我國(guó)軟件和信息技術(shù)服務(wù)業(yè)產(chǎn)業(yè)規(guī)模效益快速增長(zhǎng),軟件和信息技術(shù)服務(wù)業(yè)創(chuàng)新體系基本建立,推動(dòng)新技術(shù)、新產(chǎn)品、新模式、新業(yè)態(tài)快速發(fā)展,促進(jìn)生活方式、生產(chǎn)方式、社會(huì)治理加速變革。然而,隨著軟件總體數(shù)量的提升,軟件質(zhì)量事故仍不斷涌現(xiàn)。
作為新一代的智能模糊測(cè)試領(lǐng)跑者,云起無(wú)垠自成立以來(lái)始終專注于模糊測(cè)試技術(shù)的研發(fā)和創(chuàng)新,并以此為核心,構(gòu)建了一系列基于模糊測(cè)試的產(chǎn)品和服務(wù),致力于在各種場(chǎng)景下協(xié)助企業(yè)解決安全漏洞挖掘的問題,為企業(yè)帶來(lái)更完善、更安全的產(chǎn)品服務(wù)體驗(yàn)。
圖2 產(chǎn)品服務(wù)矩陣
1.技術(shù)創(chuàng)新:AIGC賦能智能模糊測(cè)試
GPT大模型的高速發(fā)展,已對(duì)各行業(yè)的生產(chǎn)范式造成了顛覆性的影響。作為新一代智能模糊測(cè)試領(lǐng)跑者,云起無(wú)垠率先將AIGC模式融入產(chǎn)品,賦能軟件開發(fā)階段,在測(cè)試樣例自動(dòng)化生成與漏洞自動(dòng)化修復(fù)工作中均有顯著成效。
安全漏洞檢測(cè):AIGC融入智能模糊測(cè)試之后,可針對(duì)特定的輸入類型、未知缺陷漏洞進(jìn)一步優(yōu)化測(cè)試樣例的生成過(guò)程,極大提高了測(cè)試樣例的質(zhì)量和生成效率。而且,基于覆蓋引導(dǎo)等技術(shù),可以針對(duì)性地對(duì)應(yīng)用程序進(jìn)行定向檢測(cè),深度探索代碼邊界,有效檢測(cè)已知與未知威脅。
安全漏洞修復(fù):智能代碼模糊測(cè)試可精準(zhǔn)定位存在缺陷的代碼片段,并對(duì)漏洞的成因進(jìn)行復(fù)現(xiàn)。通過(guò)采用AIGC的模式,將錯(cuò)誤代碼片段等檢測(cè)結(jié)果作為缺陷修復(fù)模型的輸入,可自動(dòng)生成修復(fù)后的代碼。這種方式大幅度提高了缺陷修復(fù)效率,降低了缺陷修復(fù)的技術(shù)門檻。
總的來(lái)說(shuō),通過(guò)將模糊測(cè)試與AIGC深度融合,使云起無(wú)垠智能模糊測(cè)試解決方案在自動(dòng)化程度、測(cè)試深度、測(cè)試效率、缺陷修復(fù)等維度取得了極大的能力提升,開啟了智能安全檢測(cè)新篇章。
2.云起無(wú)垠產(chǎn)品服務(wù)矩陣
無(wú)垠代碼模糊測(cè)試系統(tǒng)
云起無(wú)垠基于智能模糊測(cè)試技術(shù),融合GPT大模型,在變異算法、遺傳算法、覆蓋引導(dǎo)等眾多技術(shù)基礎(chǔ)之上研發(fā)設(shè)計(jì)了無(wú)垠代碼模糊測(cè)試系統(tǒng)。無(wú)垠代碼模糊測(cè)試系統(tǒng)可應(yīng)用于開發(fā)、測(cè)試、集成等環(huán)節(jié),針對(duì)源代碼/二進(jìn)制文件進(jìn)行安全檢測(cè),相比傳統(tǒng)檢測(cè)工具的自動(dòng)化安全檢測(cè)方式,不僅可以高效地對(duì)“已知和未知”漏洞進(jìn)行挖掘和檢測(cè)分析,還融合了AIGC模式,可自動(dòng)化地生成修復(fù)方案與修正后的安全代碼片段,大幅縮減了缺陷修復(fù)時(shí)間,降低了人工修復(fù)成本。
目前,支持獨(dú)立測(cè)試模式和CI/CD集成模式。
圖3 獨(dú)立測(cè)試模式
圖4 CI/CD集成模式
相比傳統(tǒng)安全檢測(cè)工具,無(wú)垠代碼模糊測(cè)試系統(tǒng)具有四大優(yōu)勢(shì):
1)檢測(cè)零誤報(bào)、漏洞可復(fù)現(xiàn)
基于動(dòng)態(tài)執(zhí)行的測(cè)試方法,確保所有檢出缺陷,可定位、可復(fù)現(xiàn)、可驗(yàn)證,且誤報(bào)率趨近于零。
2)測(cè)試粒度更細(xì)、覆蓋場(chǎng)景更全
基于AIGC的智能模糊測(cè)試,在樣例生成階段依托AI遺傳變異算法與覆蓋引導(dǎo)等技術(shù),可自動(dòng)生成海量(億級(jí))高質(zhì)量測(cè)試用例,整體粒度會(huì)更細(xì),測(cè)試點(diǎn)更多,判斷位置也會(huì)更精準(zhǔn),顯著提升了測(cè)試效果與覆蓋率。該方案不僅可以應(yīng)用于Web應(yīng)用檢測(cè),還可用于協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫(kù)等測(cè)試粒度要求更高的檢測(cè)場(chǎng)景。
3)精準(zhǔn)檢測(cè)未知漏洞
通過(guò)使用AIGC生成各種類型畸變測(cè)試數(shù)據(jù),可以增加Fuzzing測(cè)試的多樣性和復(fù)雜性,從而發(fā)現(xiàn)更多類型缺陷與未知0day漏洞。例如,通過(guò)生成包含特殊字符或嵌入式命令的字符串,可以測(cè)試程序?qū)τ诓煌斎霐?shù)據(jù)的容錯(cuò)性和安全性。
4)大幅降低漏洞修復(fù)成本
通過(guò)將AIGC與模糊測(cè)試相結(jié)合,可以更快地生成漏洞修復(fù)建議,進(jìn)一步提高漏洞修復(fù)的效率;而且,融合AIGC的模糊測(cè)試可實(shí)現(xiàn)漏洞自動(dòng)化挖掘與修復(fù)的全流程閉環(huán),大幅提升測(cè)試人員的工作效率,從而節(jié)省修復(fù)成本。
無(wú)垠協(xié)議模糊測(cè)試系統(tǒng)
無(wú)垠協(xié)議模糊測(cè)試系統(tǒng)是云起無(wú)垠自主研發(fā)的黑盒協(xié)議模糊測(cè)試系統(tǒng),通過(guò)向目標(biāo)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果,自動(dòng)化檢測(cè)系統(tǒng)缺陷并驗(yàn)證協(xié)議功能,從源頭助力企業(yè)實(shí)現(xiàn)自動(dòng)化安全檢測(cè),提升協(xié)議應(yīng)用的安全性與健壯性。
圖5 協(xié)議模糊測(cè)試應(yīng)用場(chǎng)景
精準(zhǔn)、智能、無(wú)侵入的產(chǎn)品優(yōu)勢(shì)如下:
1)豐富的協(xié)議支持
覆蓋近百種主流網(wǎng)絡(luò)協(xié)議,支持創(chuàng)建自定義協(xié)議模型;
2)全自動(dòng)安全檢測(cè)
測(cè)試用例自動(dòng)生成,測(cè)試策略自動(dòng)優(yōu)化,檢出漏洞自動(dòng)驗(yàn)證;
3)未知問題,提前防御
海量變異測(cè)試用例,支持檢測(cè)已知漏洞,善于發(fā)現(xiàn)未知漏洞;
4)豐富的檢測(cè)報(bào)告
提供準(zhǔn)確報(bào)告,包含故障分類、修復(fù)建議、漏洞詳情等關(guān)鍵信息;
5)消除檢測(cè)誤報(bào)噪音
模擬程序真實(shí)運(yùn)行環(huán)境,確保所有檢出缺陷可復(fù)現(xiàn)、0誤報(bào);
6)無(wú)侵入
采用黑盒檢測(cè)方式,不侵入系統(tǒng)或工程代碼,發(fā)現(xiàn)深層漏洞;
無(wú)瑕軟件缺陷分析系統(tǒng)
無(wú)瑕軟件缺陷分析系統(tǒng)是自主研發(fā)的源代碼靜態(tài)分析工具,結(jié)合深度軟件分析方法和深度學(xué)習(xí)方法,能夠檢測(cè)到大量已有軟件安全測(cè)試工具無(wú)法檢測(cè)的深層安全漏洞,并有效消除大量誤報(bào)。
產(chǎn)品優(yōu)勢(shì)如下:
1)檢測(cè)精度“更準(zhǔn)”
智能學(xué)習(xí),自動(dòng)排除誤報(bào),誤報(bào)率僅為其他產(chǎn)品的1/3。
2)檢測(cè)速度“更快”
采用自主專利技術(shù)的程序分析引擎,多種創(chuàng)新性的靜態(tài)分析技術(shù),縮短1/3檢測(cè)時(shí)間。
3)檢測(cè)深度“更深”
支持上千萬(wàn)行代碼的跨文件、跨類、跨函數(shù)的缺陷/漏洞檢測(cè)。
4)檢測(cè)漏洞“更多”
能夠查找更多的已知/未知深度安全漏洞。
無(wú)塵軟件成分分析系統(tǒng)
基于“左移安全”和DevSCAOps的理念打造的一款全方位智能軟件成分分析平臺(tái),平臺(tái)同時(shí)具備源代碼、組件依賴、二進(jìn)制、容器鏡像4大核心成分分析引擎,能夠快速、準(zhǔn)確識(shí)別軟件中所使用到的第三方開源組件,然后通過(guò)關(guān)聯(lián)分析技術(shù)識(shí)別軟件中潛在的安全漏洞和許可證信息,綜合判斷相關(guān)風(fēng)險(xiǎn),并給出相關(guān)風(fēng)險(xiǎn)修復(fù)建議,并依托SBOM臺(tái)賬管理能力賦能企業(yè)對(duì)內(nèi)部軟件資產(chǎn)形成全面、持續(xù)的安全運(yùn)營(yíng)。
平臺(tái)旨在賦能企業(yè)開源安全與合規(guī)治理能力,幫助企業(yè)做到軟件產(chǎn)品實(shí)際意義上的可知可控,護(hù)航企業(yè)網(wǎng)絡(luò)安全。
產(chǎn)品優(yōu)勢(shì)如下:
相比傳統(tǒng)的SCA產(chǎn)品,無(wú)塵軟件成分分析系統(tǒng)可以檢測(cè)多種類型目標(biāo),支持文件級(jí)漏洞同源分析,支持信創(chuàng)軟件代碼自主率分析,數(shù)據(jù)高頻更新,并提供標(biāo)準(zhǔn)格式的SBOM清單生成和管理功能,有效支撐用戶業(yè)務(wù)需求。
1)軟件成分分析,同時(shí)支持源碼、組件依賴、二進(jìn)制文件、容器鏡像
2)漏洞分析,支持組件漏洞關(guān)聯(lián)分析,支持文件級(jí)漏洞同源分析
3)許可合規(guī)分析,同時(shí)支持組件自身風(fēng)險(xiǎn)、沖突性風(fēng)險(xiǎn)、篡改風(fēng)險(xiǎn)
4)支持代碼版權(quán)合規(guī)分析
5)支持代碼自主率分析
6)DevOps工具鏈支持
7)數(shù)據(jù)更新頻率為日更新
8)軟件資產(chǎn)管理,支持國(guó)際標(biāo)準(zhǔn)SPDX格式的SBOM清單生成與管理
智能模糊測(cè)試服務(wù)
依托服務(wù)團(tuán)隊(duì)十余年安全行業(yè)的經(jīng)驗(yàn)積累,云起無(wú)垠為企業(yè)帶來(lái)了創(chuàng)新性的智能模糊測(cè)試服務(wù),其中涵蓋物聯(lián)網(wǎng)/IOT類安全測(cè)試服務(wù)、車載設(shè)備/車聯(lián)網(wǎng)安全檢測(cè)、服務(wù)組件類安全檢測(cè)及定向漏洞挖掘服務(wù),幫助企業(yè)構(gòu)筑更完善的安全防線,提供更全面的安全解決方案。
圖6 模糊測(cè)試服務(wù)
模糊測(cè)試服務(wù)優(yōu)勢(shì)包括如下:
1)多領(lǐng)域?qū)I(yè)服務(wù):云起無(wú)垠在網(wǎng)絡(luò)安全、物聯(lián)網(wǎng)/IoT、云計(jì)算、大數(shù)據(jù)和區(qū)塊鏈等領(lǐng)域的專業(yè)團(tuán)隊(duì)為客戶提供優(yōu)質(zhì)的技術(shù)服務(wù)。
2)豐富的專家經(jīng)驗(yàn):云起無(wú)垠的專家團(tuán)隊(duì)?wèi){借豐富的實(shí)戰(zhàn)經(jīng)驗(yàn),可快速理解并定位客戶的核心需求,降低溝通成本,并為客戶提供量身定制化的解決方案。
3)先進(jìn)的技術(shù)手段:云起無(wú)垠的安全專家曾多次在國(guó)際頂尖的信息安全大賽獲獎(jiǎng),多次在全球知名公開會(huì)議上發(fā)表議題,技術(shù)水平在行業(yè)內(nèi)處于尖端位置。
4)嚴(yán)格的質(zhì)量控制:云起無(wú)垠安全服務(wù)建立了完善的質(zhì)量控制體系,從項(xiàng)目啟動(dòng)、需求分析、開發(fā)、交付、維護(hù)等環(huán)節(jié)都有一套完整的質(zhì)量控制方案,項(xiàng)目經(jīng)理全程跟進(jìn),以確??蛻舻拿恳粋€(gè)項(xiàng)目均能按時(shí)、高質(zhì)量、高標(biāo)準(zhǔn)完成。
作為一種先進(jìn)的漏洞挖掘與穩(wěn)定性檢測(cè)手段,模糊測(cè)試技術(shù)的探索仍在繼續(xù)。接下來(lái),云起無(wú)垠將依托信通院模糊測(cè)試架構(gòu)能力要求標(biāo)準(zhǔn),繼續(xù)深耕模糊測(cè)試技術(shù),構(gòu)建更完善的產(chǎn)品服務(wù)矩陣,并致力于軟件開發(fā)安全和軟件質(zhì)量的提升,為客戶提供符合行業(yè)標(biāo)準(zhǔn)、使用場(chǎng)景的解決方案,共同推動(dòng)以模糊測(cè)試為代表的系統(tǒng)穩(wěn)定性技術(shù)理念落地,填補(bǔ)技術(shù)理論與實(shí)踐的鴻溝。
關(guān)于云起無(wú)垠
云起無(wú)垠是新一代AI賦能軟件供應(yīng)鏈安全實(shí)踐者,致力于推動(dòng)AI賦能信息系統(tǒng)安全智能化檢測(cè)和缺陷自動(dòng)化修復(fù)。團(tuán)隊(duì)匯聚了來(lái)自清華、北郵等知名高校以及華為、騰訊等頭部IT企業(yè)的安全領(lǐng)域創(chuàng)新人才,擁有世界一流的自動(dòng)化漏洞檢測(cè)與挖掘能力,產(chǎn)品覆蓋智能模糊測(cè)試、源代碼缺陷分析、軟件成分分析、智能安全知識(shí)庫(kù)等方向。
云起無(wú)垠已獲得數(shù)十項(xiàng)軟件著作權(quán)和專利,已通過(guò)ISO9001、ISO20000、ISO27001等認(rèn)證,參與二十多項(xiàng)國(guó)家及行業(yè)標(biāo)準(zhǔn)制定,服務(wù)于能源、金融、通信、汽車、軍工等多個(gè)行業(yè)。公司成立以來(lái),已完成多輪數(shù)千萬(wàn)級(jí)融資。
相關(guān)稿件