近日,云起無垠無垠代碼模糊測試系統參與了中國信通院《模糊測試架構能力要求》標準評估�?!赌:郎y試架構能力要求》為了以更標準的形式來驗證模糊測試產品的安全能力,其標準規(guī)范了黑盒、灰盒模糊測試的平臺能力及引擎能力,共包含了4個能力域�����、28個能力項�、246個能力指標,提供了模糊測試平臺能力建設的全方針指導。根據模糊測試平臺在不同能力域的綜合表現,分為基礎級���、增強級��、先進級3個能力等級����。
經過中國信通院的檢驗,無垠代碼模糊測試系統以最高分通過了《模糊測試架構能力要求》的指標檢驗,其灰盒平臺能力域和灰盒引擎能力域,均達到了模糊測試技術分級能力評估的“先進級”要求,產品能力得到了高度認可。
圖1 能力檢驗證書
軟件是新一代信息技術的靈魂,是數字經濟發(fā)展的基礎,是制造強國�、網絡強國、數字中國建設的關鍵支撐���。目前,我國軟件和信息技術服務業(yè)產業(yè)規(guī)模效益快速增長,軟件和信息技術服務業(yè)創(chuàng)新體系基本建立,推動新技術����、新產品����、新模式、新業(yè)態(tài)快速發(fā)展,促進生活方式�、生產方式、社會治理加速變革���。然而,隨著軟件總體數量的提升,軟件質量事故仍不斷涌現��。
作為新一代的智能模糊測試領跑者,云起無垠自成立以來始終專注于模糊測試技術的研發(fā)和創(chuàng)新,并以此為核心,構建了一系列基于模糊測試的產品和服務,致力于在各種場景下協助企業(yè)解決安全漏洞挖掘的問題,為企業(yè)帶來更完善�����、更安全的產品服務體驗�。
圖2 產品服務矩陣
1.技術創(chuàng)新:AIGC賦能智能模糊測試
GPT大模型的高速發(fā)展,已對各行業(yè)的生產范式造成了顛覆性的影響。作為新一代智能模糊測試領跑者,云起無垠率先將AIGC模式融入產品,賦能軟件開發(fā)階段,在測試樣例自動化生成與漏洞自動化修復工作中均有顯著成效����。
安全漏洞檢測:AIGC融入智能模糊測試之后,可針對特定的輸入類型、未知缺陷漏洞進一步優(yōu)化測試樣例的生成過程,極大提高了測試樣例的質量和生成效率����。而且,基于覆蓋引導等技術,可以針對性地對應用程序進行定向檢測,深度探索代碼邊界,有效檢測已知與未知威脅。
安全漏洞修復:智能代碼模糊測試可精準定位存在缺陷的代碼片段,并對漏洞的成因進行復現��。通過采用AIGC的模式,將錯誤代碼片段等檢測結果作為缺陷修復模型的輸入,可自動生成修復后的代碼�。這種方式大幅度提高了缺陷修復效率,降低了缺陷修復的技術門檻����。
總的來說,通過將模糊測試與AIGC深度融合,使云起無垠智能模糊測試解決方案在自動化程度、測試深度�、測試效率、缺陷修復等維度取得了極大的能力提升,開啟了智能安全檢測新篇章�。
2.云起無垠產品服務矩陣
無垠代碼模糊測試系統
云起無垠基于智能模糊測試技術,融合GPT大模型,在變異算法、遺傳算法�����、覆蓋引導等眾多技術基礎之上研發(fā)設計了無垠代碼模糊測試系統���。無垠代碼模糊測試系統可應用于開發(fā)�����、測試����、集成等環(huán)節(jié),針對源代碼/二進制文件進行安全檢測,相比傳統檢測工具的自動化安全檢測方式,不僅可以高效地對“已知和未知”漏洞進行挖掘和檢測分析,還融合了AIGC模式,可自動化地生成修復方案與修正后的安全代碼片段,大幅縮減了缺陷修復時間,降低了人工修復成本。
目前,支持獨立測試模式和CI/CD集成模式��。
圖3 獨立測試模式
圖4 CI/CD集成模式
相比傳統安全檢測工具,無垠代碼模糊測試系統具有四大優(yōu)勢:
1)檢測零誤報����、漏洞可復現
基于動態(tài)執(zhí)行的測試方法,確保所有檢出缺陷,可定位、可復現�、可驗證,且誤報率趨近于零。
2)測試粒度更細�����、覆蓋場景更全
基于AIGC的智能模糊測試,在樣例生成階段依托AI遺傳變異算法與覆蓋引導等技術,可自動生成海量(億級)高質量測試用例,整體粒度會更細,測試點更多,判斷位置也會更精準,顯著提升了測試效果與覆蓋率��。該方案不僅可以應用于Web應用檢測,還可用于協議��、操作系統���、數據庫等測試粒度要求更高的檢測場景��。
3)精準檢測未知漏洞
通過使用AIGC生成各種類型畸變測試數據,可以增加Fuzzing測試的多樣性和復雜性,從而發(fā)現更多類型缺陷與未知0day漏洞�。例如,通過生成包含特殊字符或嵌入式命令的字符串,可以測試程序對于不同輸入數據的容錯性和安全性。
4)大幅降低漏洞修復成本
通過將AIGC與模糊測試相結合,可以更快地生成漏洞修復建議,進一步提高漏洞修復的效率;而且,融合AIGC的模糊測試可實現漏洞自動化挖掘與修復的全流程閉環(huán),大幅提升測試人員的工作效率,從而節(jié)省修復成本�。
無垠協議模糊測試系統
無垠協議模糊測試系統是云起無垠自主研發(fā)的黑盒協議模糊測試系統,通過向目標提供非預期的輸入并監(jiān)視異常結果,自動化檢測系統缺陷并驗證協議功能,從源頭助力企業(yè)實現自動化安全檢測,提升協議應用的安全性與健壯性。
圖5 協議模糊測試應用場景
精準�����、智能�、無侵入的產品優(yōu)勢如下:
1)豐富的協議支持
覆蓋近百種主流網絡協議,支持創(chuàng)建自定義協議模型;
2)全自動安全檢測
測試用例自動生成,測試策略自動優(yōu)化,檢出漏洞自動驗證;
3)未知問題,提前防御
海量變異測試用例,支持檢測已知漏洞,善于發(fā)現未知漏洞;
4)豐富的檢測報告
提供準確報告,包含故障分類、修復建議�、漏洞詳情等關鍵信息;
5)消除檢測誤報噪音
模擬程序真實運行環(huán)境,確保所有檢出缺陷可復現、0誤報;
6)無侵入
采用黑盒檢測方式,不侵入系統或工程代碼,發(fā)現深層漏洞;
無瑕軟件缺陷分析系統
無瑕軟件缺陷分析系統是自主研發(fā)的源代碼靜態(tài)分析工具,結合深度軟件分析方法和深度學習方法,能夠檢測到大量已有軟件安全測試工具無法檢測的深層安全漏洞,并有效消除大量誤報��。
產品優(yōu)勢如下:
1)檢測精度“更準”
智能學習,自動排除誤報,誤報率僅為其他產品的1/3�。
2)檢測速度“更快”
采用自主專利技術的程序分析引擎,多種創(chuàng)新性的靜態(tài)分析技術,縮短1/3檢測時間����。
3)檢測深度“更深”
支持上千萬行代碼的跨文件、跨類����、跨函數的缺陷/漏洞檢測�����。
4)檢測漏洞“更多”
能夠查找更多的已知/未知深度安全漏洞����。
無塵軟件成分分析系統
基于“左移安全”和DevSCAOps的理念打造的一款全方位智能軟件成分分析平臺,平臺同時具備源代碼�����、組件依賴����、二進制、容器鏡像4大核心成分分析引擎,能夠快速�、準確識別軟件中所使用到的第三方開源組件,然后通過關聯分析技術識別軟件中潛在的安全漏洞和許可證信息,綜合判斷相關風險,并給出相關風險修復建議,并依托SBOM臺賬管理能力賦能企業(yè)對內部軟件資產形成全面、持續(xù)的安全運營����。
平臺旨在賦能企業(yè)開源安全與合規(guī)治理能力,幫助企業(yè)做到軟件產品實際意義上的可知可控,護航企業(yè)網絡安全。
產品優(yōu)勢如下:
相比傳統的SCA產品,無塵軟件成分分析系統可以檢測多種類型目標,支持文件級漏洞同源分析,支持信創(chuàng)軟件代碼自主率分析,數據高頻更新,并提供標準格式的SBOM清單生成和管理功能,有效支撐用戶業(yè)務需求�。
1)軟件成分分析,同時支持源碼、組件依賴�、二進制文件、容器鏡像
2)漏洞分析,支持組件漏洞關聯分析,支持文件級漏洞同源分析
3)許可合規(guī)分析,同時支持組件自身風險�、沖突性風險���、篡改風險
4)支持代碼版權合規(guī)分析
5)支持代碼自主率分析
6)DevOps工具鏈支持
7)數據更新頻率為日更新
8)軟件資產管理,支持國際標準SPDX格式的SBOM清單生成與管理
智能模糊測試服務
依托服務團隊十余年安全行業(yè)的經驗積累,云起無垠為企業(yè)帶來了創(chuàng)新性的智能模糊測試服務,其中涵蓋物聯網/IOT類安全測試服務、車載設備/車聯網安全檢測�、服務組件類安全檢測及定向漏洞挖掘服務,幫助企業(yè)構筑更完善的安全防線,提供更全面的安全解決方案。
圖6 模糊測試服務
模糊測試服務優(yōu)勢包括如下:
1)多領域專業(yè)服務:云起無垠在網絡安全�、物聯網/IoT、云計算�、大數據和區(qū)塊鏈等領域的專業(yè)團隊為客戶提供優(yōu)質的技術服務。
2)豐富的專家經驗:云起無垠的專家團隊憑借豐富的實戰(zhàn)經驗,可快速理解并定位客戶的核心需求,降低溝通成本,并為客戶提供量身定制化的解決方案����。
3)先進的技術手段:云起無垠的安全專家曾多次在國際頂尖的信息安全大賽獲獎,多次在全球知名公開會議上發(fā)表議題,技術水平在行業(yè)內處于尖端位置。
4)嚴格的質量控制:云起無垠安全服務建立了完善的質量控制體系,從項目啟動�、需求分析、開發(fā)����、交付、維護等環(huán)節(jié)都有一套完整的質量控制方案,項目經理全程跟進,以確?���?蛻舻拿恳粋€項目均能按時�、高質量、高標準完成����。
作為一種先進的漏洞挖掘與穩(wěn)定性檢測手段,模糊測試技術的探索仍在繼續(xù)���。接下來,云起無垠將依托信通院模糊測試架構能力要求標準,繼續(xù)深耕模糊測試技術,構建更完善的產品服務矩陣,并致力于軟件開發(fā)安全和軟件質量的提升,為客戶提供符合行業(yè)標準、使用場景的解決方案,共同推動以模糊測試為代表的系統穩(wěn)定性技術理念落地,填補技術理論與實踐的鴻溝����。
關于云起無垠
云起無垠是新一代AI賦能軟件供應鏈安全實踐者,致力于推動AI賦能信息系統安全智能化檢測和缺陷自動化修復。團隊匯聚了來自清華�、北郵等知名高校以及華為、騰訊等頭部IT企業(yè)的安全領域創(chuàng)新人才,擁有世界一流的自動化漏洞檢測與挖掘能力,產品覆蓋智能模糊測試�����、源代碼缺陷分析�、軟件成分分析、智能安全知識庫等方向���。
云起無垠已獲得數十項軟件著作權和專利,已通過ISO9001���、ISO20000、ISO27001等認證,參與二十多項國家及行業(yè)標準制定,服務于能源��、金融、通信�、汽車、軍工等多個行業(yè)�。公司成立以來,已完成多輪數千萬級融資。
中企網微博
中企網微信