近日,云起無(wú)垠無(wú)垠代碼模糊測試系統參與了中國信通院《模糊測試架構能力要求》標準評估����?!赌:郎y試架構能力要求》為了以更標準的形式來(lái)驗證模糊測試產(chǎn)品的安全能力,其標準規范了黑盒����、灰盒模糊測試的平臺能力及引擎能力,共包含了4個(gè)能力域�、28個(gè)能力項�����、246個(gè)能力指標,提供了模糊測試平臺能力建設的全方針指導�。根據模糊測試平臺在不同能力域的綜合表現,分為基礎級��、增強級�、先進(jìn)級3個(gè)能力等級���。
經(jīng)過(guò)中國信通院的檢驗,無(wú)垠代碼模糊測試系統以最高分通過(guò)了《模糊測試架構能力要求》的指標檢驗,其灰盒平臺能力域和灰盒引擎能力域,均達到了模糊測試技術(shù)分級能力評估的“先進(jìn)級”要求,產(chǎn)品能力得到了高度認可����。
圖1 能力檢驗證書(shū)
軟件是新一代信息技術(shù)的靈魂,是數字經(jīng)濟發(fā)展的基礎,是制造強國�����、網(wǎng)絡(luò )強國���、數字中國建設的關(guān)鍵支撐���。目前,我國軟件和信息技術(shù)服務(wù)業(yè)產(chǎn)業(yè)規模效益快速增長(cháng),軟件和信息技術(shù)服務(wù)業(yè)創(chuàng )新體系基本建立,推動(dòng)新技術(shù)�、新產(chǎn)品���、新模式�����、新業(yè)態(tài)快速發(fā)展,促進(jìn)生活方式����、生產(chǎn)方式����、社會(huì )治理加速變革�。然而,隨著(zhù)軟件總體數量的提升,軟件質(zhì)量事故仍不斷涌現���。
作為新一代的智能模糊測試領(lǐng)跑者,云起無(wú)垠自成立以來(lái)始終專(zhuān)注于模糊測試技術(shù)的研發(fā)和創(chuàng )新,并以此為核心,構建了一系列基于模糊測試的產(chǎn)品和服務(wù),致力于在各種場(chǎng)景下協(xié)助企業(yè)解決安全漏洞挖掘的問(wèn)題,為企業(yè)帶來(lái)更完善�����、更安全的產(chǎn)品服務(wù)體驗���。
圖2 產(chǎn)品服務(wù)矩陣
1.技術(shù)創(chuàng )新:AIGC賦能智能模糊測試
GPT大模型的高速發(fā)展,已對各行業(yè)的生產(chǎn)范式造成了顛覆性的影響���。作為新一代智能模糊測試領(lǐng)跑者,云起無(wú)垠率先將AIGC模式融入產(chǎn)品,賦能軟件開(kāi)發(fā)階段,在測試樣例自動(dòng)化生成與漏洞自動(dòng)化修復工作中均有顯著(zhù)成效���。
安全漏洞檢測:AIGC融入智能模糊測試之后,可針對特定的輸入類(lèi)型���、未知缺陷漏洞進(jìn)一步優(yōu)化測試樣例的生成過(guò)程,極大提高了測試樣例的質(zhì)量和生成效率����。而且,基于覆蓋引導等技術(shù),可以針對性地對應用程序進(jìn)行定向檢測,深度探索代碼邊界,有效檢測已知與未知威脅���。
安全漏洞修復:智能代碼模糊測試可精準定位存在缺陷的代碼片段,并對漏洞的成因進(jìn)行復現�����。通過(guò)采用AIGC的模式,將錯誤代碼片段等檢測結果作為缺陷修復模型的輸入,可自動(dòng)生成修復后的代碼��。這種方式大幅度提高了缺陷修復效率,降低了缺陷修復的技術(shù)門(mén)檻�。
總的來(lái)說(shuō),通過(guò)將模糊測試與AIGC深度融合,使云起無(wú)垠智能模糊測試解決方案在自動(dòng)化程度����、測試深度�、測試效率���、缺陷修復等維度取得了極大的能力提升,開(kāi)啟了智能安全檢測新篇章��。
2.云起無(wú)垠產(chǎn)品服務(wù)矩陣
無(wú)垠代碼模糊測試系統
云起無(wú)垠基于智能模糊測試技術(shù),融合GPT大模型,在變異算法�、遺傳算法���、覆蓋引導等眾多技術(shù)基礎之上研發(fā)設計了無(wú)垠代碼模糊測試系統����。無(wú)垠代碼模糊測試系統可應用于開(kāi)發(fā)���、測試�����、集成等環(huán)節,針對源代碼/二進(jìn)制文件進(jìn)行安全檢測,相比傳統檢測工具的自動(dòng)化安全檢測方式,不僅可以高效地對“已知和未知”漏洞進(jìn)行挖掘和檢測分析,還融合了AIGC模式,可自動(dòng)化地生成修復方案與修正后的安全代碼片段,大幅縮減了缺陷修復時(shí)間,降低了人工修復成本���。
目前,支持獨立測試模式和CI/CD集成模式����。
圖3 獨立測試模式
圖4 CI/CD集成模式
相比傳統安全檢測工具,無(wú)垠代碼模糊測試系統具有四大優(yōu)勢:
1)檢測零誤報�����、漏洞可復現
基于動(dòng)態(tài)執行的測試方法,確保所有檢出缺陷,可定位���、可復現��、可驗證,且誤報率趨近于零���。
2)測試粒度更細�����、覆蓋場(chǎng)景更全
基于A(yíng)IGC的智能模糊測試,在樣例生成階段依托AI遺傳變異算法與覆蓋引導等技術(shù),可自動(dòng)生成海量(億級)高質(zhì)量測試用例,整體粒度會(huì )更細,測試點(diǎn)更多,判斷位置也會(huì )更精準,顯著(zhù)提升了測試效果與覆蓋率��。該方案不僅可以應用于Web應用檢測,還可用于協(xié)議�、操作系統���、數據庫等測試粒度要求更高的檢測場(chǎng)景�。
3)精準檢測未知漏洞
通過(guò)使用AIGC生成各種類(lèi)型畸變測試數據,可以增加Fuzzing測試的多樣性和復雜性,從而發(fā)現更多類(lèi)型缺陷與未知0day漏洞��。例如,通過(guò)生成包含特殊字符或嵌入式命令的字符串,可以測試程序對于不同輸入數據的容錯性和安全性���。
4)大幅降低漏洞修復成本
通過(guò)將AIGC與模糊測試相結合,可以更快地生成漏洞修復建議,進(jìn)一步提高漏洞修復的效率;而且,融合AIGC的模糊測試可實(shí)現漏洞自動(dòng)化挖掘與修復的全流程閉環(huán),大幅提升測試人員的工作效率,從而節省修復成本��。
無(wú)垠協(xié)議模糊測試系統
無(wú)垠協(xié)議模糊測試系統是云起無(wú)垠自主研發(fā)的黑盒協(xié)議模糊測試系統,通過(guò)向目標提供非預期的輸入并監視異常結果,自動(dòng)化檢測系統缺陷并驗證協(xié)議功能,從源頭助力企業(yè)實(shí)現自動(dòng)化安全檢測,提升協(xié)議應用的安全性與健壯性����。
圖5 協(xié)議模糊測試應用場(chǎng)景
精準����、智能�����、無(wú)侵入的產(chǎn)品優(yōu)勢如下:
1)豐富的協(xié)議支持
覆蓋近百種主流網(wǎng)絡(luò )協(xié)議,支持創(chuàng )建自定義協(xié)議模型;
2)全自動(dòng)安全檢測
測試用例自動(dòng)生成,測試策略自動(dòng)優(yōu)化,檢出漏洞自動(dòng)驗證;
3)未知問(wèn)題,提前防御
海量變異測試用例,支持檢測已知漏洞,善于發(fā)現未知漏洞;
4)豐富的檢測報告
提供準確報告,包含故障分類(lèi)����、修復建議����、漏洞詳情等關(guān)鍵信息;
5)消除檢測誤報噪音
模擬程序真實(shí)運行環(huán)境,確保所有檢出缺陷可復現��、0誤報;
6)無(wú)侵入
采用黑盒檢測方式,不侵入系統或工程代碼,發(fā)現深層漏洞;
無(wú)瑕軟件缺陷分析系統
無(wú)瑕軟件缺陷分析系統是自主研發(fā)的源代碼靜態(tài)分析工具,結合深度軟件分析方法和深度學(xué)習方法,能夠檢測到大量已有軟件安全測試工具無(wú)法檢測的深層安全漏洞,并有效消除大量誤報�����。
產(chǎn)品優(yōu)勢如下:
1)檢測精度“更準”
智能學(xué)習,自動(dòng)排除誤報,誤報率僅為其他產(chǎn)品的1/3���。
2)檢測速度“更快”
采用自主專(zhuān)利技術(shù)的程序分析引擎,多種創(chuàng )新性的靜態(tài)分析技術(shù),縮短1/3檢測時(shí)間��。
3)檢測深度“更深”
支持上千萬(wàn)行代碼的跨文件�、跨類(lèi)���、跨函數的缺陷/漏洞檢測��。
4)檢測漏洞“更多”
能夠查找更多的已知/未知深度安全漏洞�。
無(wú)塵軟件成分分析系統
基于“左移安全”和DevSCAOps的理念打造的一款全方位智能軟件成分分析平臺,平臺同時(shí)具備源代碼���、組件依賴(lài)�����、二進(jìn)制����、容器鏡像4大核心成分分析引擎,能夠快速��、準確識別軟件中所使用到的第三方開(kāi)源組件,然后通過(guò)關(guān)聯(lián)分析技術(shù)識別軟件中潛在的安全漏洞和許可證信息,綜合判斷相關(guān)風(fēng)險,并給出相關(guān)風(fēng)險修復建議,并依托SBOM臺賬管理能力賦能企業(yè)對內部軟件資產(chǎn)形成全面��、持續的安全運營(yíng)�����。
平臺旨在賦能企業(yè)開(kāi)源安全與合規治理能力,幫助企業(yè)做到軟件產(chǎn)品實(shí)際意義上的可知可控,護航企業(yè)網(wǎng)絡(luò )安全���。
產(chǎn)品優(yōu)勢如下:
相比傳統的SCA產(chǎn)品,無(wú)塵軟件成分分析系統可以檢測多種類(lèi)型目標,支持文件級漏洞同源分析,支持信創(chuàng )軟件代碼自主率分析,數據高頻更新,并提供標準格式的SBOM清單生成和管理功能,有效支撐用戶(hù)業(yè)務(wù)需求����。
1)軟件成分分析,同時(shí)支持源碼��、組件依賴(lài)�、二進(jìn)制文件��、容器鏡像
2)漏洞分析,支持組件漏洞關(guān)聯(lián)分析,支持文件級漏洞同源分析
3)許可合規分析,同時(shí)支持組件自身風(fēng)險����、沖突性風(fēng)險����、篡改風(fēng)險
4)支持代碼版權合規分析
5)支持代碼自主率分析
6)DevOps工具鏈支持
7)數據更新頻率為日更新
8)軟件資產(chǎn)管理,支持國際標準SPDX格式的SBOM清單生成與管理
智能模糊測試服務(wù)
依托服務(wù)團隊十余年安全行業(yè)的經(jīng)驗積累,云起無(wú)垠為企業(yè)帶來(lái)了創(chuàng )新性的智能模糊測試服務(wù),其中涵蓋物聯(lián)網(wǎng)/IOT類(lèi)安全測試服務(wù)�、車(chē)載設備/車(chē)聯(lián)網(wǎng)安全檢測��、服務(wù)組件類(lèi)安全檢測及定向漏洞挖掘服務(wù),幫助企業(yè)構筑更完善的安全防線(xiàn),提供更全面的安全解決方案����。
圖6 模糊測試服務(wù)
模糊測試服務(wù)優(yōu)勢包括如下:
1)多領(lǐng)域專(zhuān)業(yè)服務(wù):云起無(wú)垠在網(wǎng)絡(luò )安全��、物聯(lián)網(wǎng)/IoT�����、云計算�����、大數據和區塊鏈等領(lǐng)域的專(zhuān)業(yè)團隊為客戶(hù)提供優(yōu)質(zhì)的技術(shù)服務(wù)��。
2)豐富的專(zhuān)家經(jīng)驗:云起無(wú)垠的專(zhuān)家團隊憑借豐富的實(shí)戰經(jīng)驗,可快速理解并定位客戶(hù)的核心需求,降低溝通成本,并為客戶(hù)提供量身定制化的解決方案�。
3)先進(jìn)的技術(shù)手段:云起無(wú)垠的安全專(zhuān)家曾多次在國際頂尖的信息安全大賽獲獎,多次在全球知名公開(kāi)會(huì )議上發(fā)表議題,技術(shù)水平在行業(yè)內處于尖端位置���。
4)嚴格的質(zhì)量控制:云起無(wú)垠安全服務(wù)建立了完善的質(zhì)量控制體系,從項目啟動(dòng)���、需求分析�����、開(kāi)發(fā)����、交付����、維護等環(huán)節都有一套完整的質(zhì)量控制方案,項目經(jīng)理全程跟進(jìn),以確?��?蛻?hù)的每一個(gè)項目均能按時(shí)�、高質(zhì)量��、高標準完成���。
作為一種先進(jìn)的漏洞挖掘與穩定性檢測手段,模糊測試技術(shù)的探索仍在繼續����。接下來(lái),云起無(wú)垠將依托信通院模糊測試架構能力要求標準,繼續深耕模糊測試技術(shù),構建更完善的產(chǎn)品服務(wù)矩陣,并致力于軟件開(kāi)發(fā)安全和軟件質(zhì)量的提升,為客戶(hù)提供符合行業(yè)標準���、使用場(chǎng)景的解決方案,共同推動(dòng)以模糊測試為代表的系統穩定性技術(shù)理念落地,填補技術(shù)理論與實(shí)踐的鴻溝�。
關(guān)于云起無(wú)垠
云起無(wú)垠是新一代AI賦能軟件供應鏈安全實(shí)踐者,致力于推動(dòng)AI賦能信息系統安全智能化檢測和缺陷自動(dòng)化修復����。團隊匯聚了來(lái)自清華�����、北郵等知名高校以及華為�、騰訊等頭部IT企業(yè)的安全領(lǐng)域創(chuàng )新人才,擁有世界一流的自動(dòng)化漏洞檢測與挖掘能力,產(chǎn)品覆蓋智能模糊測試�、源代碼缺陷分析�����、軟件成分分析��、智能安全知識庫等方向���。
云起無(wú)垠已獲得數十項軟件著(zhù)作權和專(zhuān)利,已通過(guò)ISO9001�����、ISO20000�����、ISO27001等認證,參與二十多項國家及行業(yè)標準制定,服務(wù)于能源��、金融�����、通信����、汽車(chē)��、軍工等多個(gè)行業(yè)���。公司成立以來(lái),已完成多輪數千萬(wàn)級融資��。
中企網(wǎng)微博
中企網(wǎng)微信