應(yīng)用并管控“兩庫(kù)”是信創(chuàng)軟件安全的核心能力
信創(chuàng)與“863計(jì)劃”、“973計(jì)劃”一脈相承,是我國(guó)IT產(chǎn)業(yè)發(fā)展升級(jí)采取的長(zhǎng)期計(jì)劃。其本質(zhì)是發(fā)展國(guó)產(chǎn)信息產(chǎn)業(yè),旨在實(shí)現(xiàn)“自主可控、安全可靠”的發(fā)展目標(biāo),同時(shí)也是國(guó)家經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型、提升產(chǎn)業(yè)鏈發(fā)展的關(guān)鍵。
一、信創(chuàng)產(chǎn)業(yè)及信創(chuàng)軟件
信創(chuàng)產(chǎn)業(yè),即信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè),是我國(guó) IT 產(chǎn)業(yè)發(fā)展升級(jí)采取的長(zhǎng)期計(jì)劃。信創(chuàng)建設(shè)從黨政試點(diǎn),關(guān)鍵行業(yè)逐步推廣(2+8+N),逐步建立自主的 IT 底層架構(gòu)和標(biāo)準(zhǔn),實(shí)現(xiàn)全I(xiàn)T全產(chǎn)業(yè)鏈實(shí)力和結(jié)構(gòu)的優(yōu)化升級(jí),主要包含IT基礎(chǔ)設(shè)施、基礎(chǔ)軟件、應(yīng)用軟件和信息安全等板塊。
根據(jù)中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二零三五年遠(yuǎn)景目標(biāo)的建議相關(guān)內(nèi)容,國(guó)家十四五規(guī)劃以高質(zhì)量發(fā)展為主題,改革創(chuàng)新為根本動(dòng)力,加快建設(shè)現(xiàn)代化經(jīng)濟(jì)體系。經(jīng)濟(jì)發(fā)展重要方向上,要強(qiáng)化國(guó)內(nèi)市場(chǎng)建設(shè)、擴(kuò)大內(nèi)需,以創(chuàng)新能力做驅(qū)動(dòng),積極發(fā)展戰(zhàn)略新興產(chǎn)業(yè)、基礎(chǔ)設(shè)施和數(shù)字化建設(shè)。信創(chuàng)產(chǎn)業(yè)以信息技術(shù)產(chǎn)業(yè)為根基,通過(guò)科技創(chuàng)新,構(gòu)建國(guó)內(nèi)信息技術(shù)產(chǎn)業(yè)生態(tài)體系,是實(shí)現(xiàn)國(guó)家十四五規(guī)劃發(fā)展目標(biāo)的重要抓手。
隨著信創(chuàng)產(chǎn)業(yè)的推進(jìn),我國(guó)的基礎(chǔ)軟件(包含操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等)及應(yīng)用軟件市場(chǎng),將出現(xiàn)海量的信創(chuàng)替代和增量采購(gòu)需求。據(jù)統(tǒng)計(jì),僅以應(yīng)用軟件市場(chǎng)為例,2022年中國(guó)信創(chuàng)應(yīng)用軟件市場(chǎng)規(guī)模約5944.4 億元,2025年預(yù)計(jì)將達(dá)到1.5萬(wàn)億元,2021-2025年復(fù)合增長(zhǎng)率約35.1%。
圖 信創(chuàng)產(chǎn)業(yè)鏈
二、“兩庫(kù)”是信創(chuàng)軟件的重要組成部分
“兩庫(kù)”是對(duì)開源軟件庫(kù)與安全漏洞庫(kù)的統(tǒng)稱,它們是信創(chuàng)軟件不可或缺的組成部分,開源軟件庫(kù)大幅提升了信創(chuàng)軟件的研發(fā)效率,安全漏洞庫(kù)則為信創(chuàng)軟件提供了已知漏洞檢測(cè)的數(shù)據(jù)支撐。
(1)開源軟件庫(kù):簡(jiǎn)稱開源庫(kù),根據(jù)相應(yīng)的開源軟件許可證協(xié)議,公布軟件源代碼的網(wǎng)絡(luò)平臺(tái)。任何個(gè)人或組織均可下載并使用開源軟件的全部功能,也可以根據(jù)自己的需求修改源代碼,甚至編制成衍生產(chǎn)品再次發(fā)布出去,但需遵循開源許可協(xié)議,否則可能會(huì)引發(fā)知識(shí)產(chǎn)權(quán)糾紛。例如,2021年廣東省某科技公司便因違反GPL3.0 協(xié)議下的源代碼授權(quán)保護(hù),被法院判為侵權(quán)并處于罰款。除了開源許可違規(guī)的潛在風(fēng)險(xiǎn)外,使用開源軟件還可能面臨安全問(wèn)題,Synopsys在《2022開源安全和風(fēng)險(xiǎn)分析報(bào)告》中指出,97%的代碼倉(cāng)庫(kù)包含開源軟件,其中81%的開源軟件含有漏洞。信創(chuàng)產(chǎn)業(yè)方興未艾,基于開源軟件開發(fā)信創(chuàng)軟件,可以大幅提升開發(fā)效率,但也不可避免的繼承了開源軟件帶來(lái)的安全漏洞。
(2)安全漏洞庫(kù):簡(jiǎn)稱漏洞庫(kù),通過(guò)主動(dòng)挖掘、社會(huì)提交、協(xié)作共享等方式,收集基礎(chǔ)軟件、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等軟硬件系統(tǒng)的信息安全漏洞,并建立規(guī)范的漏洞研判處置流程、通暢的信息共享通報(bào)機(jī)制以及完善的技術(shù)協(xié)作體系,為重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。我國(guó)的安全漏洞庫(kù)主要包括:CNVD(國(guó)家信息安全漏洞共享平臺(tái))、CNNVD(中國(guó)國(guó)家信息安全漏洞庫(kù))等,另外,國(guó)際上的主流安全漏洞庫(kù)還包括:CWE(通用缺陷枚舉庫(kù))、CVE(通用漏洞披露庫(kù))、NVD(美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù))、CVSS(通用漏洞評(píng)估系統(tǒng))等。我國(guó)信創(chuàng)軟件的傳統(tǒng)漏洞檢測(cè)工具,均依賴上述漏洞庫(kù)提供的漏洞特征,對(duì)信創(chuàng)軟件進(jìn)行已知漏洞檢測(cè)。
三、“兩庫(kù)”給信創(chuàng)軟件帶來(lái)的漏洞挑戰(zhàn)
2021年7月,工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,規(guī)范了產(chǎn)品漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為;明確了產(chǎn)品開發(fā)商、產(chǎn)品服務(wù)商、漏洞發(fā)現(xiàn)者、漏洞發(fā)布者等各類主體的責(zé)任和義務(wù)。信創(chuàng)軟件市場(chǎng)的高速增長(zhǎng),催生出大量的信創(chuàng)軟件代碼、產(chǎn)品、開發(fā)商與服務(wù)商。而信創(chuàng)軟件的激增,也必然引發(fā)其安全漏洞的激增。控制安全漏洞的數(shù)量、破壞性與影響范圍,保障的信創(chuàng)軟件的可信性和安全性,既是遵循法律法規(guī)的明確要求,也是整個(gè)信創(chuàng)安全體系的基礎(chǔ),成為目前亟須解決的問(wèn)題。
開源軟件庫(kù)與安全漏洞庫(kù)作為信創(chuàng)軟件的重要組成部分,在提升信創(chuàng)軟件的研發(fā)效率、提供已知漏洞檢測(cè)的數(shù)據(jù)支撐的同時(shí),也為信創(chuàng)軟件帶來(lái)了安全漏洞的挑戰(zhàn):
(1)信創(chuàng)軟件開發(fā)大量依賴開源軟件,但對(duì)開源軟件的安全漏洞缺乏足夠的了解。開源軟件安全漏洞的依賴關(guān)系、影響范圍、破壞程度等信息不明確,將給信創(chuàng)軟件帶來(lái)極大的安全風(fēng)險(xiǎn)。
(2)受到開源社區(qū)影響以及國(guó)際關(guān)系制約,信創(chuàng)軟件的底層架構(gòu)和依賴的第三方組件,可能會(huì)面臨斷供的風(fēng)險(xiǎn),若未遵循開源許可協(xié)議,也會(huì)引發(fā)知識(shí)產(chǎn)權(quán)糾紛。
(3)面對(duì)激增的信創(chuàng)軟件代碼及產(chǎn)品,缺少與其匹配的安全漏洞檢測(cè)能力與手段:依靠人工檢測(cè),檢測(cè)效率無(wú)法覆蓋代碼的增長(zhǎng)速度。依靠漏洞庫(kù)提供的漏洞特征進(jìn)行檢測(cè),但由于信創(chuàng)軟件與通用軟件的技術(shù)架構(gòu)與運(yùn)行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫(kù)并不能完全適用與信創(chuàng)軟件。
四、面對(duì)開源軟件,加強(qiáng)軟件成分分析能力
信創(chuàng)產(chǎn)業(yè)方興未艾,基于開源軟件庫(kù)提供的開源軟件進(jìn)行研發(fā),可以大幅提升信創(chuàng)軟件的研發(fā)效率,但這種方式不僅會(huì)繼承來(lái)自開源軟件的安全漏洞,還要遵循GPL/LGPL/BSD等相關(guān)開源許可協(xié)議,否則可能會(huì)引發(fā)斷供風(fēng)險(xiǎn)以及知識(shí)產(chǎn)權(quán)糾紛。
解決上述問(wèn)題,軟件成分分析(SCA,Software Composition Analysis)是最行之有效的技術(shù)手段。軟件成分分析,是一種對(duì)二進(jìn)制軟件的組成部分進(jìn)行識(shí)別、分析和追蹤的技術(shù),專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫(kù),以識(shí)別和清點(diǎn)開源軟件的組件及其構(gòu)成和依賴關(guān)系,并識(shí)別已知的安全漏洞或者潛在的許可證授權(quán)問(wèn)題,把這些風(fēng)險(xiǎn)排查在軟件系統(tǒng)投產(chǎn)之前,也適用于軟件系統(tǒng)運(yùn)行中的診斷分析。具體可描述為如下四部分能力:
(1)軟件物料清單分析能力:掃描并生成與信創(chuàng)軟件一起出現(xiàn)的開源軟件列表,包括在構(gòu)建階段解析到的所有依賴項(xiàng),這一輸出結(jié)果就是軟件物料清單,通常包括:軟件名稱、軟件版本、來(lái)源或分布、文件路徑等信息。
(2)開源許可協(xié)議風(fēng)險(xiǎn)管理能力:對(duì)開源軟件進(jìn)行許可協(xié)議分析,明確其商業(yè)化限制,有助于規(guī)范的使用開源軟件,避免信創(chuàng)軟件因政治原因或違反開源協(xié)議,引發(fā)斷供風(fēng)險(xiǎn)以及知識(shí)產(chǎn)權(quán)糾紛。
(3)開源軟件已知漏洞檢測(cè)能力:基于安全漏洞庫(kù),對(duì)軟件物料清單中的開源軟件版本,進(jìn)行已知漏洞特征比對(duì),識(shí)別該開源軟件存在的已知漏洞,并分析漏洞對(duì)信創(chuàng)軟件帶來(lái)的安全風(fēng)險(xiǎn)。
(4)開源軟件未知漏洞挖掘能力:基于模糊測(cè)試技術(shù)(具體詳見第五章),對(duì)軟件物料清單中的開源軟件版本,進(jìn)行未知漏洞挖掘,補(bǔ)充安全漏洞庫(kù)所不具備的未知漏洞檢測(cè)能力。
五、基于模糊測(cè)試,補(bǔ)齊漏洞檢測(cè)能力短板
基于安全漏洞庫(kù)提供的已知漏洞特征,進(jìn)行已知漏洞檢測(cè),能夠部分解決信創(chuàng)軟件的安全漏洞問(wèn)題。但為了有效的保障信創(chuàng)軟件的可信性和安全性,仍有如下幾個(gè)方面需要改進(jìn):
(1)缺少信創(chuàng)軟件專用漏洞庫(kù):信創(chuàng)軟件是近些年的新興產(chǎn)物,且與通用軟件的技術(shù)架構(gòu)與運(yùn)行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫(kù)缺少對(duì)信創(chuàng)軟件的漏洞積累,現(xiàn)有漏洞也不能完全適用于信創(chuàng)軟件,我們需要積累專屬于信創(chuàng)軟件的漏洞庫(kù),為信創(chuàng)軟件提供更加準(zhǔn)確的漏洞的技術(shù)支撐和數(shù)據(jù)支持。
(2)降低信創(chuàng)軟件已知漏洞誤報(bào)率:基于漏洞庫(kù)提供的已知漏洞特征,可以快速識(shí)別已知漏洞,但另一方面也不可避免的造成了大量的誤報(bào)信息。我們需要優(yōu)化漏洞檢測(cè)機(jī)制,補(bǔ)充漏洞定位及復(fù)現(xiàn)能力,從而降低信創(chuàng)軟件漏洞誤報(bào)率,提高漏洞處置效率。
(3)提升信創(chuàng)軟件未知漏洞挖掘能力:通過(guò)已知漏洞特征比對(duì),可以發(fā)現(xiàn)已知漏洞,但對(duì)未知漏洞無(wú)能為力。并且已知漏洞特征的積累,也是來(lái)源與對(duì)未知漏洞的發(fā)現(xiàn)與分析。所以對(duì)未知漏洞的挖掘才是信創(chuàng)軟件漏洞檢測(cè)的底層能力,也是我們當(dāng)前最為缺失的能力,亟須提升。
面對(duì)上述改進(jìn)需求,模糊測(cè)試(Fuzzing)是最行之有效的技術(shù)手段。模糊測(cè)試是一種軟件自動(dòng)化測(cè)試技術(shù),通過(guò)構(gòu)造隨機(jī)的、非預(yù)期的畸形數(shù)據(jù)作為程序的輸入,并監(jiān)控程序執(zhí)行過(guò)程中可能產(chǎn)生的異常,之后將這些異常作為分析的起點(diǎn),確定漏洞的可利用性。
1988年,巴頓·米勒教授在針對(duì)UNIX操作系統(tǒng)質(zhì)量問(wèn)題的測(cè)試項(xiàng)目中,第一次引入了模糊測(cè)試的概念。通過(guò)大量輸入完全隨機(jī)的數(shù)據(jù)進(jìn)行測(cè)試,能夠引發(fā)大部分軟件出現(xiàn)崩潰問(wèn)題。雖然效果顯著,但依然存在測(cè)試效率較低、漏洞產(chǎn)出不穩(wěn)定等問(wèn)題。
2013年,AFL(American Fuzzy Lop)發(fā)布。這是一種基于覆蓋引導(dǎo)的智能模糊測(cè)試技術(shù),通過(guò)編譯時(shí)插樁探索程序內(nèi)部的執(zhí)行路徑,從而提高代碼覆蓋率,改善了傳統(tǒng)模糊測(cè)試技術(shù)效率較低、漏洞不穩(wěn)定等問(wèn)題。華為、微軟、谷歌等企業(yè)開始大范圍應(yīng)用模糊測(cè)試技術(shù),并取得了極其顯著的效果。但因?yàn)榧夹g(shù)門檻過(guò)高,模糊測(cè)試技術(shù)目前只能在各頭部大廠中得以應(yīng)用。
2021年,北京云起無(wú)垠科技有限公司成立。創(chuàng)始團(tuán)隊(duì)出身清華,多年來(lái),在優(yōu)化模糊測(cè)試算法的同時(shí),也大幅降低了該項(xiàng)技術(shù)的使用門檻。云起無(wú)垠致力于將模糊測(cè)試技術(shù)產(chǎn)品化,讓更多的企業(yè)可以享受到模糊測(cè)技術(shù)帶來(lái)的便利,其產(chǎn)品具備如下優(yōu)勢(shì):
(1)海量測(cè)試用例:利用AI遺傳算法輔助測(cè)試用例智能變異,基于反饋學(xué)習(xí)機(jī)制,自動(dòng)生成海量(億萬(wàn)級(jí))測(cè)試用例,對(duì)目標(biāo)軟件進(jìn)行安全檢測(cè),提升軟件檢測(cè)覆蓋率。
(2)誤報(bào)率為零:基于內(nèi)存級(jí)別的細(xì)粒度檢測(cè)能力與動(dòng)態(tài)執(zhí)行驗(yàn)證能力,產(chǎn)品檢測(cè)缺陷誤報(bào)率無(wú)限趨近于零,且對(duì)被發(fā)現(xiàn)的軟件缺陷,可定位、可復(fù)現(xiàn)、可驗(yàn)證。
(3)發(fā)現(xiàn)未知缺陷:通過(guò)對(duì)軟件的運(yùn)行態(tài)進(jìn)行安全檢測(cè),基于覆蓋率引導(dǎo)技術(shù)定向引導(dǎo)測(cè)試用例變異,觸發(fā)傳統(tǒng)檢測(cè)手段容易忽略的異常分支,從而發(fā)現(xiàn)未知缺陷。
(4)降低人力成本:對(duì)軟件進(jìn)行自動(dòng)化動(dòng)態(tài)檢測(cè),中間過(guò)程無(wú)需人工參與,大幅提升檢測(cè)效率,降低人力成本。
未來(lái),云起無(wú)垠將基于模糊測(cè)試、軟件成分分析等技術(shù),專注于軟件供應(yīng)鏈安全領(lǐng)域,致力于解決軟件(開源、閉源)已知和未知漏洞等威脅問(wèn)題。同時(shí),不斷完善各類解決方案,為信創(chuàng)產(chǎn)業(yè)的發(fā)展提供安全助力,促進(jìn)產(chǎn)業(yè)升級(jí),向前發(fā)展。(云起無(wú)垠CTO|崔卓)
?
來(lái)源:IT時(shí)代網(wǎng)
IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000,定時(shí)推送,互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。
熱門文章
精彩評(píng)論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機(jī)現(xiàn)在也是全球銷量不錯(cuò),國(guó)內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實(shí)不錯(cuò)。來(lái)自: 美國(guó)如此忌憚華為 顯示出對(duì)中國(guó)崛起的深層憂慮--IT時(shí)代網(wǎng)
- 小何三星手機(jī)在中國(guó)還有市場(chǎng)嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場(chǎng)基本沒(méi)有了。。
來(lái)自: 彭博社:六大中國(guó)手機(jī)品牌在全球挑戰(zhàn)三星蘋果霸主地位--IT時(shí)代網(wǎng)
- 小何滴滴打車現(xiàn)在也沒(méi)有之前那么火了,,補(bǔ)貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來(lái)自: 少年頭條對(duì)壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時(shí)代網(wǎng)