5月26日,2022数博会领先科技成果奖获奖名单正式公布。“奇安信开源软件供应链安全检测关键技术与产业化应用”荣获2022领先科技成果奖“新技术”奖。
获奖奖状
开源软件供应链引入的代码安全问题,引发了一系列逐年递增且日趋严重的针对软件供应链的攻击事件。针对这一安全隐患,奇安信突破开源软件供应链安全检测关键技术,并形成产品,实现对基础软件供应链源代码、二进制组件等安全检测及漏洞定位分析能力,提升国产化基础软件安全水平。
作为国内外少有的专门针对开源软件供应链安全的研究和产业化项目,“奇安信开源软件供应链安全检测关键技术与产业化应用”基于自主技术研发智能化软件数据收集与分析引擎,具备多源数据海量信息环境下开源软件信息收集、覆盖全部软件形态的精确成分识别、漏洞库联动检测深度关联分析等能力,提供开源软件资产识别、漏洞风险分析、协议风险分析、运维风险分析和漏洞情报预警等功能,助力用户及时掌握软件资产信息,降低开源软件及其组件带来的软件供应链风险。
据介绍,该项目有三大创新点,
•其一是基于定向爬虫和预处理动态反馈的代码基准库自动化构建方法,整条技术路线实现了高度自动化、高度精确的开源软件数据收集,并将人工的参与度降到最低,避免了人工介入产生的错误;
•其二是基于项目和代码结构及语义的多级别特征提取技术,保证比对分析的高效快速;
•其三是采用基于多级特征值的高效代码识别匹配技术,提高相似性判定的效率与准确度。
在北京冬奥会和冬残奥会期间,该项目成果也应用于软件供应链安全预警工具的升级工作。针对冬奥网络安全环境中软件来源复杂、安全窗口短暂的需求,通过模块化能力扩展,将开源软件识别数量从800万提高至3000万,可识别的开源代码模块数量从2万提高到超过8万,漏洞库中包含的漏洞数量从3万提升到12万,明显增强了对冬奥赛事系统软件供应链的安全预警能力。
目前,“奇安信开源软件供应链安全检测关键技术与产业化应用”已经在政府、银行、证券、保险、运营商、能源、交通等行业的300多家机构中落地,累计为客户检测30多万个项目,100多亿行代码,发现了2000多万个安全隐患,有效助力企业构建自身代码安全保障体系,历经实战检验具备良好的应用推广价值。
开源卫士试用地址:https://oss.qianxin.com
在本届数博会“数博发布”环节,奇安信集团安全专家发布了奇安信集团落地贵阳,通过贵州数安奇天网络安全服务有限公司负责运营的态势感知与安全服务平台。
平台从智慧城市、安全运营角度出发,提供“1+1+N”的整体解决方案,通过网络安全运营中心技术人员的安全运营服务,以服务的形势把安全能力赋予最终用户。平台目前已在贵阳市经开区国家大数据靶场本地落地建成,并投入运行中。
此外,“奇安信冬奥网络安全应急响应95015公共服务平台”、“奇安信态势感知与安全运营平台”在本次评选中分别获得“商业模式奖”和“优秀成果奖”。
奇安信2022数博会精彩回顾
推荐阅读
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~