近日,云起無垠無垠代碼模糊測試系統(tǒng)參與了中國信通院《模糊測試架構(gòu)能力要求》標(biāo)準(zhǔn)評估?!赌:郎y試架構(gòu)能力要求》為了以更標(biāo)準(zhǔn)的形式來驗證模糊測試產(chǎn)品的安全能力,其標(biāo)準(zhǔn)規(guī)范了黑盒、灰盒模糊測試的平臺能力及引擎能力,共包含了4個能力域、28個能力項、246個能力指標(biāo),提供了模糊測試平臺能力建設(shè)的全方針指導(dǎo)。根據(jù)模糊測試平臺在不同能力域的綜合表現(xiàn),分為基礎(chǔ)級、增強(qiáng)級、先進(jìn)級3個能力等級。
經(jīng)過中國信通院的檢驗,無垠代碼模糊測試系統(tǒng)以最高分通過了《模糊測試架構(gòu)能力要求》的指標(biāo)檢驗,其灰盒平臺能力域和灰盒引擎能力域,均達(dá)到了模糊測試技術(shù)分級能力評估的“先進(jìn)級”要求,產(chǎn)品能力得到了高度認(rèn)可。
圖1 能力檢驗證書
軟件是新一代信息技術(shù)的靈魂,是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ),是制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國建設(shè)的關(guān)鍵支撐。目前,我國軟件和信息技術(shù)服務(wù)業(yè)產(chǎn)業(yè)規(guī)模效益快速增長,軟件和信息技術(shù)服務(wù)業(yè)創(chuàng)新體系基本建立,推動新技術(shù)、新產(chǎn)品、新模式、新業(yè)態(tài)快速發(fā)展,促進(jìn)生活方式、生產(chǎn)方式、社會治理加速變革。然而,隨著軟件總體數(shù)量的提升,軟件質(zhì)量事故仍不斷涌現(xiàn)。
作為新一代的智能模糊測試領(lǐng)跑者,云起無垠自成立以來始終專注于模糊測試技術(shù)的研發(fā)和創(chuàng)新,并以此為核心,構(gòu)建了一系列基于模糊測試的產(chǎn)品和服務(wù),致力于在各種場景下協(xié)助企業(yè)解決安全漏洞挖掘的問題,為企業(yè)帶來更完善、更安全的產(chǎn)品服務(wù)體驗。
圖2 產(chǎn)品服務(wù)矩陣
1.技術(shù)創(chuàng)新:AIGC賦能智能模糊測試
GPT大模型的高速發(fā)展,已對各行業(yè)的生產(chǎn)范式造成了顛覆性的影響。作為新一代智能模糊測試領(lǐng)跑者,云起無垠率先將AIGC模式融入產(chǎn)品,賦能軟件開發(fā)階段,在測試樣例自動化生成與漏洞自動化修復(fù)工作中均有顯著成效。
安全漏洞檢測:AIGC融入智能模糊測試之后,可針對特定的輸入類型、未知缺陷漏洞進(jìn)一步優(yōu)化測試樣例的生成過程,極大提高了測試樣例的質(zhì)量和生成效率。而且,基于覆蓋引導(dǎo)等技術(shù),可以針對性地對應(yīng)用程序進(jìn)行定向檢測,深度探索代碼邊界,有效檢測已知與未知威脅。
安全漏洞修復(fù):智能代碼模糊測試可精準(zhǔn)定位存在缺陷的代碼片段,并對漏洞的成因進(jìn)行復(fù)現(xiàn)。通過采用AIGC的模式,將錯誤代碼片段等檢測結(jié)果作為缺陷修復(fù)模型的輸入,可自動生成修復(fù)后的代碼。這種方式大幅度提高了缺陷修復(fù)效率,降低了缺陷修復(fù)的技術(shù)門檻。
總的來說,通過將模糊測試與AIGC深度融合,使云起無垠智能模糊測試解決方案在自動化程度、測試深度、測試效率、缺陷修復(fù)等維度取得了極大的能力提升,開啟了智能安全檢測新篇章。
2.云起無垠產(chǎn)品服務(wù)矩陣
無垠代碼模糊測試系統(tǒng)
云起無垠基于智能模糊測試技術(shù),融合GPT大模型,在變異算法、遺傳算法、覆蓋引導(dǎo)等眾多技術(shù)基礎(chǔ)之上研發(fā)設(shè)計了無垠代碼模糊測試系統(tǒng)。無垠代碼模糊測試系統(tǒng)可應(yīng)用于開發(fā)、測試、集成等環(huán)節(jié),針對源代碼/二進(jìn)制文件進(jìn)行安全檢測,相比傳統(tǒng)檢測工具的自動化安全檢測方式,不僅可以高效地對“已知和未知”漏洞進(jìn)行挖掘和檢測分析,還融合了AIGC模式,可自動化地生成修復(fù)方案與修正后的安全代碼片段,大幅縮減了缺陷修復(fù)時間,降低了人工修復(fù)成本。
目前,支持獨立測試模式和CI/CD集成模式。
圖3 獨立測試模式
圖4 CI/CD集成模式
相比傳統(tǒng)安全檢測工具,無垠代碼模糊測試系統(tǒng)具有四大優(yōu)勢:
1)檢測零誤報、漏洞可復(fù)現(xiàn)
基于動態(tài)執(zhí)行的測試方法,確保所有檢出缺陷,可定位、可復(fù)現(xiàn)、可驗證,且誤報率趨近于零。
2)測試粒度更細(xì)、覆蓋場景更全
基于AIGC的智能模糊測試,在樣例生成階段依托AI遺傳變異算法與覆蓋引導(dǎo)等技術(shù),可自動生成海量(億級)高質(zhì)量測試用例,整體粒度會更細(xì),測試點更多,判斷位置也會更精準(zhǔn),顯著提升了測試效果與覆蓋率。該方案不僅可以應(yīng)用于Web應(yīng)用檢測,還可用于協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等測試粒度要求更高的檢測場景。
3)精準(zhǔn)檢測未知漏洞
通過使用AIGC生成各種類型畸變測試數(shù)據(jù),可以增加Fuzzing測試的多樣性和復(fù)雜性,從而發(fā)現(xiàn)更多類型缺陷與未知0day漏洞。例如,通過生成包含特殊字符或嵌入式命令的字符串,可以測試程序?qū)τ诓煌斎霐?shù)據(jù)的容錯性和安全性。
4)大幅降低漏洞修復(fù)成本
通過將AIGC與模糊測試相結(jié)合,可以更快地生成漏洞修復(fù)建議,進(jìn)一步提高漏洞修復(fù)的效率;而且,融合AIGC的模糊測試可實現(xiàn)漏洞自動化挖掘與修復(fù)的全流程閉環(huán),大幅提升測試人員的工作效率,從而節(jié)省修復(fù)成本。
無垠協(xié)議模糊測試系統(tǒng)
無垠協(xié)議模糊測試系統(tǒng)是云起無垠自主研發(fā)的黑盒協(xié)議模糊測試系統(tǒng),通過向目標(biāo)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果,自動化檢測系統(tǒng)缺陷并驗證協(xié)議功能,從源頭助力企業(yè)實現(xiàn)自動化安全檢測,提升協(xié)議應(yīng)用的安全性與健壯性。
圖5 協(xié)議模糊測試應(yīng)用場景
精準(zhǔn)、智能、無侵入的產(chǎn)品優(yōu)勢如下:
1)豐富的協(xié)議支持
覆蓋近百種主流網(wǎng)絡(luò)協(xié)議,支持創(chuàng)建自定義協(xié)議模型;
2)全自動安全檢測
測試用例自動生成,測試策略自動優(yōu)化,檢出漏洞自動驗證;
3)未知問題,提前防御
海量變異測試用例,支持檢測已知漏洞,善于發(fā)現(xiàn)未知漏洞;
4)豐富的檢測報告
提供準(zhǔn)確報告,包含故障分類、修復(fù)建議、漏洞詳情等關(guān)鍵信息;
5)消除檢測誤報噪音
模擬程序真實運行環(huán)境,確保所有檢出缺陷可復(fù)現(xiàn)、0誤報;
6)無侵入
采用黑盒檢測方式,不侵入系統(tǒng)或工程代碼,發(fā)現(xiàn)深層漏洞;
無瑕軟件缺陷分析系統(tǒng)
無瑕軟件缺陷分析系統(tǒng)是自主研發(fā)的源代碼靜態(tài)分析工具,結(jié)合深度軟件分析方法和深度學(xué)習(xí)方法,能夠檢測到大量已有軟件安全測試工具無法檢測的深層安全漏洞,并有效消除大量誤報。
產(chǎn)品優(yōu)勢如下:
1)檢測精度“更準(zhǔn)”
智能學(xué)習(xí),自動排除誤報,誤報率僅為其他產(chǎn)品的1/3。
2)檢測速度“更快”
采用自主專利技術(shù)的程序分析引擎,多種創(chuàng)新性的靜態(tài)分析技術(shù),縮短1/3檢測時間。
3)檢測深度“更深”
支持上千萬行代碼的跨文件、跨類、跨函數(shù)的缺陷/漏洞檢測。
4)檢測漏洞“更多”
能夠查找更多的已知/未知深度安全漏洞。
無塵軟件成分分析系統(tǒng)
基于“左移安全”和DevSCAOps的理念打造的一款全方位智能軟件成分分析平臺,平臺同時具備源代碼、組件依賴、二進(jìn)制、容器鏡像4大核心成分分析引擎,能夠快速、準(zhǔn)確識別軟件中所使用到的第三方開源組件,然后通過關(guān)聯(lián)分析技術(shù)識別軟件中潛在的安全漏洞和許可證信息,綜合判斷相關(guān)風(fēng)險,并給出相關(guān)風(fēng)險修復(fù)建議,并依托SBOM臺賬管理能力賦能企業(yè)對內(nèi)部軟件資產(chǎn)形成全面、持續(xù)的安全運營。
平臺旨在賦能企業(yè)開源安全與合規(guī)治理能力,幫助企業(yè)做到軟件產(chǎn)品實際意義上的可知可控,護(hù)航企業(yè)網(wǎng)絡(luò)安全。
產(chǎn)品優(yōu)勢如下:
相比傳統(tǒng)的SCA產(chǎn)品,無塵軟件成分分析系統(tǒng)可以檢測多種類型目標(biāo),支持文件級漏洞同源分析,支持信創(chuàng)軟件代碼自主率分析,數(shù)據(jù)高頻更新,并提供標(biāo)準(zhǔn)格式的SBOM清單生成和管理功能,有效支撐用戶業(yè)務(wù)需求。
1)軟件成分分析,同時支持源碼、組件依賴、二進(jìn)制文件、容器鏡像
2)漏洞分析,支持組件漏洞關(guān)聯(lián)分析,支持文件級漏洞同源分析
3)許可合規(guī)分析,同時支持組件自身風(fēng)險、沖突性風(fēng)險、篡改風(fēng)險
4)支持代碼版權(quán)合規(guī)分析
5)支持代碼自主率分析
6)DevOps工具鏈支持
7)數(shù)據(jù)更新頻率為日更新
8)軟件資產(chǎn)管理,支持國際標(biāo)準(zhǔn)SPDX格式的SBOM清單生成與管理
智能模糊測試服務(wù)
依托服務(wù)團(tuán)隊十余年安全行業(yè)的經(jīng)驗積累,云起無垠為企業(yè)帶來了創(chuàng)新性的智能模糊測試服務(wù),其中涵蓋物聯(lián)網(wǎng)/IOT類安全測試服務(wù)、車載設(shè)備/車聯(lián)網(wǎng)安全檢測、服務(wù)組件類安全檢測及定向漏洞挖掘服務(wù),幫助企業(yè)構(gòu)筑更完善的安全防線,提供更全面的安全解決方案。
圖6 模糊測試服務(wù)
模糊測試服務(wù)優(yōu)勢包括如下:
1)多領(lǐng)域?qū)I(yè)服務(wù):云起無垠在網(wǎng)絡(luò)安全、物聯(lián)網(wǎng)/IoT、云計算、大數(shù)據(jù)和區(qū)塊鏈等領(lǐng)域的專業(yè)團(tuán)隊為客戶提供優(yōu)質(zhì)的技術(shù)服務(wù)。
2)豐富的專家經(jīng)驗:云起無垠的專家團(tuán)隊?wèi){借豐富的實戰(zhàn)經(jīng)驗,可快速理解并定位客戶的核心需求,降低溝通成本,并為客戶提供量身定制化的解決方案。
3)先進(jìn)的技術(shù)手段:云起無垠的安全專家曾多次在國際頂尖的信息安全大賽獲獎,多次在全球知名公開會議上發(fā)表議題,技術(shù)水平在行業(yè)內(nèi)處于尖端位置。
4)嚴(yán)格的質(zhì)量控制:云起無垠安全服務(wù)建立了完善的質(zhì)量控制體系,從項目啟動、需求分析、開發(fā)、交付、維護(hù)等環(huán)節(jié)都有一套完整的質(zhì)量控制方案,項目經(jīng)理全程跟進(jìn),以確??蛻舻拿恳粋€項目均能按時、高質(zhì)量、高標(biāo)準(zhǔn)完成。
作為一種先進(jìn)的漏洞挖掘與穩(wěn)定性檢測手段,模糊測試技術(shù)的探索仍在繼續(xù)。接下來,云起無垠將依托信通院模糊測試架構(gòu)能力要求標(biāo)準(zhǔn),繼續(xù)深耕模糊測試技術(shù),構(gòu)建更完善的產(chǎn)品服務(wù)矩陣,并致力于軟件開發(fā)安全和軟件質(zhì)量的提升,為客戶提供符合行業(yè)標(biāo)準(zhǔn)、使用場景的解決方案,共同推動以模糊測試為代表的系統(tǒng)穩(wěn)定性技術(shù)理念落地,填補(bǔ)技術(shù)理論與實踐的鴻溝。
關(guān)于云起無垠
云起無垠是新一代AI賦能軟件供應(yīng)鏈安全實踐者,致力于推動AI賦能信息系統(tǒng)安全智能化檢測和缺陷自動化修復(fù)。團(tuán)隊匯聚了來自清華、北郵等知名高校以及華為、騰訊等頭部IT企業(yè)的安全領(lǐng)域創(chuàng)新人才,擁有世界一流的自動化漏洞檢測與挖掘能力,產(chǎn)品覆蓋智能模糊測試、源代碼缺陷分析、軟件成分分析、智能安全知識庫等方向。
云起無垠已獲得數(shù)十項軟件著作權(quán)和專利,已通過ISO9001、ISO20000、ISO27001等認(rèn)證,參與二十多項國家及行業(yè)標(biāo)準(zhǔn)制定,服務(wù)于能源、金融、通信、汽車、軍工等多個行業(yè)。公司成立以來,已完成多輪數(shù)千萬級融資。
相關(guān)稿件