新兴国家战略级安全话题-软件供应链安全

2022年10月Gartner发布《Hype Cycle for Security in China, 2022》报告,对中国安全市场技术成熟度、产品及供应商情况进行了全面的统计与分析,涉及内容涵盖云计算、大数据、人工智能、物联网和电子商务等方面。报告认为,在安全细分领域中软件供应链安全热度处于上升阶段,SCA 可以帮助应用开发团队发布更安全的代码,并为安全团队提供主动的风险管理方法。墨云科技依托对软件成分分析的技术的创新研究,被认可为国内软件成分分析(SCA)技术领域领先企业。

国内软件供应链安全外政策分析

当今软件开发环境中,引入开源软件避免重复工作是大幅度提高软件研发效率、缩短上市时间、降低开发成本的一种方式,然而开源软件中存在的大量缺陷,研发过程中开源组件的大量运用,随之而来的安全威胁也成为企业组织无法回避的话题,各国针对该问题纷纷出台了相应的政策。

国外政策:
2008年美国颁布《国家网络安全综合倡议》(CNCI),要求从各个层面综合应对供应链风险问题;2012年美国国土安全部发布《全球供应链安全国家战略》,提出安全和高效两大目标;2021年美国总统拜登发布关于增强国家网络安全的14028号政令,明确要求联邦政府采取行动,迅速提高软件供应链的安全性和完整性。经过14年的发展美国将供应链安全问题从初为人知上升为国家战略。

国内政策:
复杂的网络环境下,国家也尤为重视在关键核心部件的研发、生产、采购等环节存在的供应链安全风险,为实现供应链的完整性、保密性、可用性和可控性安全目标,我国在2018年也出台了有关供应链安全管理国家标准,进一步加强了我国在供应链安全领域的研究、评估和监管。

软件供应链分析技术

现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、防护能力等,整体提升软件供应链安全管理的水平。然而如何针对供应链安全开展评估和判断,未形成统一认知。市场上针对供应链安全所衍生出的产品良莠不齐,主流技术路线分为两种:

基于源代码的SCA检测
源代码中包含丰富的程序信息,可通过hash严格匹配或文本相似度匹配方式,分析源代码文件相似度从而判断该文件属于什么组件及对应的版本;也可经过源代码—>词法分析—>Token提取—>语法分析—>AST抽象语法树—>语义分析过程来提取相应的数据,再通过机器学习、NLP、CFG调用图、DFG数据流图等等匹配算法进行代码相似度的检测,基于相似度检测结果得出被测软件的组成从而分析可能存在的问题。

基于二进制文件的SCA检测
二进制SCA主要从二进制文件中提取不变性较高的有关常量字符串、部分类名称、函数名称、以及一些配置信息,再运用匹配算法进行相似度计算,对比数据检测出引用的开源软件名称和版本号,同时结合分析二进制代码中的CFG调用图和DFG数据流图等信息让检测变得更加精准。然而这一系列分析需要对被测二进制文件进行反汇编操作,导致分析时效性较低。

墨云智能软件供应链安全分析平台

在软件供应链攻击频发的今天,墨云科技结合前沿技术创新研究和行业应用实践沉淀,打造了针对二进制函数级别的智能软件供应链安全分析平台Scabot。在传统基于二进制文件的SCA检测技术基础之上,墨云科技Scabot在无需源代码的前提下,利用大规模反汇编引擎,获取目标软件的汇编函数,通过神经网络将汇编函数转换成向量形式,从语义层面,计算汇编函数向量和知识库中函数向量的相似度,检索定位黑盒软件中的函数及其可能存在的风险。同时利用OpenSearch高效搜索引擎,对数据库海量数据进行索引,多节点并发进行KNN高效向量搜索,保障检测质量的同时极大提升检测效率,有效解决用户测针对自开发软件及集采软件的成分分析,降低因供应链问题引发的安全风险。

你可能感兴趣的:(安全)