隨著國產(chǎn)信創(chuàng)軟件環(huán)境下開源安全風(fēng)險(xiǎn)與日俱增,嚴(yán)重阻礙信創(chuàng)軟件的發(fā)展、信創(chuàng)產(chǎn)業(yè)的探索、信創(chuàng)技術(shù)邁進(jìn)和國家信息安全,面向信創(chuàng)領(lǐng)域的開源安全存在重大攻堅(jiān)難點(diǎn)。為解決信創(chuàng)領(lǐng)域開源安全難題,安全玻璃盒通過深度的技術(shù)打磨,重磅發(fā)布基于AI模型的二進(jìn)制函數(shù)級SCA產(chǎn)品——安全玻璃盒開源軟件安全分析系統(tǒng)SCA。
針對信創(chuàng)軟件環(huán)境下源碼分析困難、開源成分不清、漏洞危害難以溯源、法律侵權(quán)風(fēng)險(xiǎn)難以鑒別等核心問題,安全玻璃盒開源軟件安全分析系統(tǒng)SCA基于AI語言模型,通過自研的二進(jìn)制函數(shù)級關(guān)鍵分析技術(shù),實(shí)現(xiàn)在無源碼情況下信創(chuàng)軟件的安全性檢測與評估,為信創(chuàng)軟件供應(yīng)鏈“明安全之道”。
領(lǐng)先自研硬實(shí)力
“明”信創(chuàng)軟件供應(yīng)鏈“安全之道”
?深入且精準(zhǔn)的最強(qiáng)大腦:自研AI啟發(fā)式二進(jìn)制識(shí)別解包
傳統(tǒng)通過識(shí)別文件后綴與文件頭部字節(jié)的識(shí)別方式已無法識(shí)別出復(fù)雜多樣化的二進(jìn)制文件,無法正確識(shí)別就無法對二進(jìn)制文件進(jìn)行深度分析。安全玻璃盒自研的基于多層感知機(jī)深度學(xué)習(xí)的AI啟發(fā)式二進(jìn)制識(shí)別與解包模型可以解決這個(gè)問題,通過對大量不同格式的文件特征訓(xùn)練,廣泛學(xué)習(xí),可以深入了解、精準(zhǔn)解析各個(gè)應(yīng)用場景下的二進(jìn)制文件,該技術(shù)突破了以往二進(jìn)制文件分析方式。
?高準(zhǔn)確率、高檢出率:自研二進(jìn)制精細(xì)化多維度分析算法
二進(jìn)制精細(xì)化多維度分析算法通過函數(shù)向量匹配、函數(shù)調(diào)用關(guān)系匹配、組件版本號匹配等多維度分析匹配,能夠保證檢測結(jié)果的準(zhǔn)確性,大幅提升二進(jìn)制軟件成分分析的可靠性,即使在面對字符串加密或缺失、符號擦除、不同平臺(tái)導(dǎo)致哈希特征失效時(shí),也能夠有效保證檢測的高準(zhǔn)確率和高檢出率。
?布局信創(chuàng) 全面兼容:自研AI函數(shù)級二進(jìn)制檢測
通過構(gòu)建基于多層卷積神經(jīng)網(wǎng)絡(luò)架構(gòu)的深度學(xué)習(xí)AI模型,用于分析從二進(jìn)制內(nèi)提取的各種特征,并確保模型在各種平臺(tái)上的廣泛應(yīng)用,進(jìn)行全面的兼容適配,包括多種操作系統(tǒng)、處理器架構(gòu)和編譯器,從而滿足在信創(chuàng)環(huán)境下的各種國產(chǎn)與非國產(chǎn)的通用機(jī)、大型機(jī)和小型機(jī)平臺(tái)上進(jìn)行精確的二進(jìn)制函數(shù)級分析。
為安全治理管控提供頂層支持能力
那么,安全玻璃盒開源軟件安全分析系統(tǒng)SCA,都有哪些絲滑技巧呢?
除了在技術(shù)層面突破傳統(tǒng)二進(jìn)制檢測能力,我們還站在安全治理管控視角,拓寬了產(chǎn)品核心使用與能力維度。
?一鍵二進(jìn)制檢測,輕松獲取成分信息
安全玻璃盒開源軟件安全分析系統(tǒng)SCA采用一鍵式二進(jìn)制檢測,“上傳-解包-檢測”一氣呵成。無需擔(dān)心二進(jìn)制文件格式是否支持、封裝格式能否解析、跨平臺(tái)能否兼容。
一鍵創(chuàng)建檢測任務(wù)
?五維檢測引擎,更為精準(zhǔn)的分析算法
安全玻璃盒安全研究團(tuán)隊(duì)通過自研二進(jìn)制函數(shù)級檢測引擎,融合多種匹配算法,形成一套具備高覆蓋與低誤報(bào)優(yōu)勢的業(yè)內(nèi)領(lǐng)先的算法模型。提供開源軟件風(fēng)險(xiǎn)溯源路徑和五維相似度檢測依據(jù),便于安全管理者對結(jié)果進(jìn)行校驗(yàn)審計(jì)。
開源組件綜合匹配詳情
?支持人工結(jié)果審計(jì),助力安全管控治理
為進(jìn)一步滿足用戶的安全檢測需求,產(chǎn)品支持自定義調(diào)整算法檢測模型、定制算法模型置信度,用戶可對文件級、應(yīng)用級進(jìn)行開源軟件相似結(jié)果審計(jì),助力安全人員快速介入檢測、精確掌握結(jié)果數(shù)據(jù)、全流程閉環(huán)管控。
實(shí)踐場景 能力切入
?信創(chuàng)軟件開源漏洞風(fēng)險(xiǎn)檢測
產(chǎn)品已建立面向信創(chuàng)領(lǐng)域的軟件基因數(shù)據(jù)庫,兼容多種標(biāo)準(zhǔn)漏洞庫,并收錄多源在野漏洞信息、漏洞利用案例等關(guān)鍵數(shù)據(jù)。在識(shí)別開源成分的同時(shí),匹配開源漏洞數(shù)據(jù),并能夠提供詳盡的漏洞風(fēng)險(xiǎn)溯源路徑、關(guān)聯(lián)攻擊模式、漏洞修復(fù)方案等。
?信創(chuàng)軟件知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)檢測
針對信創(chuàng)產(chǎn)業(yè)時(shí)常面臨的開源軟件知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn),產(chǎn)品通過收錄3000+開源許可證、商業(yè)許可證,在識(shí)別開源成分的同時(shí),匹配開源許可數(shù)據(jù),提供詳細(xì)的許可條款解析。評估在不同項(xiàng)目屬性中,開源許可呈現(xiàn)的風(fēng)險(xiǎn)級別與兼容風(fēng)險(xiǎn)。
?信創(chuàng)軟件供應(yīng)鏈斷供風(fēng)險(xiǎn)評估
由于開源生態(tài)基礎(chǔ)設(shè)施受限于地緣政治管控和軟件屬地出口管制政策約束,一旦發(fā)生國際供應(yīng)鏈制裁,信創(chuàng)軟件的底層架構(gòu)和第三方依賴將面臨著斷供風(fēng)險(xiǎn)。產(chǎn)品通過持續(xù)監(jiān)控采集開源軟件關(guān)鍵基礎(chǔ)信息,形成開源軟件關(guān)鍵特征庫,基于行業(yè)評估標(biāo)準(zhǔn)、產(chǎn)業(yè)評估要求等形成多套開源軟件評估模型,形成完備的開源軟件監(jiān)控體系與風(fēng)險(xiǎn)態(tài)勢感知。為信創(chuàng)產(chǎn)業(yè)平穩(wěn)發(fā)展,提高信創(chuàng)企業(yè)軟件供應(yīng)鏈健康度。
信創(chuàng)領(lǐng)域的開源軟件供應(yīng)鏈安全不僅關(guān)系著我國信創(chuàng)產(chǎn)業(yè)的整體發(fā)展,更關(guān)乎我國關(guān)鍵基礎(chǔ)設(shè)施和國家信息安全。安全玻璃盒致力于保障信創(chuàng)軟件環(huán)境下的開源軟件供應(yīng)鏈安全和可持續(xù)性,著力提升信創(chuàng)產(chǎn)業(yè)核心技術(shù)水平和支撐保障能力,助力國產(chǎn)信創(chuàng)產(chǎn)業(yè)與數(shù)字化中國構(gòu)建安全底座。
關(guān)于安全玻璃盒:
安全玻璃盒【杭州孝道科技有限公司】是一家專注于為用戶提供軟件供應(yīng)鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專精特新企業(yè)。公司已擁有三十余項(xiàng)技術(shù)發(fā)明專利和七十余項(xiàng)自主軟件著作權(quán),通過基于AI模型和卷積神經(jīng)網(wǎng)絡(luò),自主研發(fā)了全鏈路智能動(dòng)態(tài)污點(diǎn)分析、函數(shù)級智能基因檢測與自動(dòng)化驗(yàn)證等核心技術(shù)與產(chǎn)品,為用戶提供DevSecOps安全開發(fā)解決方案、軟件供應(yīng)鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應(yīng)鏈安全情報(bào)與治理、軟件供應(yīng)鏈安全安全檢查評估工具等。目前已覆蓋各大關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的TOP級用戶,同時(shí)也服務(wù)了亞運(yùn)會(huì)軟件供應(yīng)鏈安全檢查、關(guān)鍵基礎(chǔ)設(shè)施用戶軟件供應(yīng)鏈安全專項(xiàng)檢查等技術(shù)支撐工作。
