信創與“863計劃”、“973計劃”一脈相承,是我國IT產業發展升級采取的長期計劃。其本質是發展國產信息產業,旨在實現“自主可控、安全可靠”的發展目標,同時也是國家經濟數字化轉型、提升產業鏈發展的關鍵。
一、信創產業及信創軟件
信創產業,即信息技術應用創新產業,是我國 IT 產業發展升級采取的長期計劃。信創建設從黨政試點,關鍵行業逐步推廣(2+8+N),逐步建立自主的 IT 底層架構和標準,實現全IT全產業鏈實力和結構的優化升級,主要包含IT基礎設施、基礎軟件、應用軟件和信息安全等板塊。
根據中共中央關于制定國民經濟和社會發展第十四個五年規劃和二零三五年遠景目標的建議相關內容,國家十四五規劃以高質量發展為主題,改革創新為根本動力,加快建設現代化經濟體系。經濟發展重要方向上,要強化國內市場建設、擴大內需,以創新能力做驅動,積極發展戰略新興產業、基礎設施和數字化建設。信創產業以信息技術產業為根基,通過科技創新,構建國內信息技術產業生態體系,是實現國家十四五規劃發展目標的重要抓手。
隨著信創產業的推進,我國的基礎軟件(包含操作系統、中間件、數據庫等)及應用軟件市場,將出現海量的信創替代和增量采購需求。據統計,僅以應用軟件市場為例,2022年中國信創應用軟件市場規模約5944.4 億元,2025年預計將達到1.5萬億元,2021-2025年復合增長率約35.1%。
圖 信創產業鏈
二、“兩庫”是信創軟件的重要組成部分
“兩庫”是對開源軟件庫與安全漏洞庫的統稱,它們是信創軟件不可或缺的組成部分,開源軟件庫大幅提升了信創軟件的研發效率,安全漏洞庫則為信創軟件提供了已知漏洞檢測的數據支撐。
(1)開源軟件庫:簡稱開源庫,根據相應的開源軟件許可證協議,公布軟件源代碼的網絡平臺。任何個人或組織均可下載并使用開源軟件的全部功能,也可以根據自己的需求修改源代碼,甚至編制成衍生產品再次發布出去,但需遵循開源許可協議,否則可能會引發知識產權糾紛。例如,2021年廣東省某科技公司便因違反GPL3.0 協議下的源代碼授權保護,被法院判為侵權并處于罰款。除了開源許可違規的潛在風險外,使用開源軟件還可能面臨安全問題,Synopsys在《2022開源安全和風險分析報告》中指出,97%的代碼倉庫包含開源軟件,其中81%的開源軟件含有漏洞。信創產業方興未艾,基于開源軟件開發信創軟件,可以大幅提升開發效率,但也不可避免的繼承了開源軟件帶來的安全漏洞。
(2)安全漏洞庫:簡稱漏洞庫,通過主動挖掘、社會提交、協作共享等方式,收集基礎軟件、應用軟件、網絡設備等軟硬件系統的信息安全漏洞,并建立規范的漏洞研判處置流程、通暢的信息共享通報機制以及完善的技術協作體系,為重要行業和關鍵基礎設施安全保障工作提供了重要的技術支撐和數據支持。我國的安全漏洞庫主要包括:CNVD(國家信息安全漏洞共享平臺)、CNNVD(中國國家信息安全漏洞庫)等,另外,國際上的主流安全漏洞庫還包括:CWE(通用缺陷枚舉庫)、CVE(通用漏洞披露庫)、NVD(美國國家漏洞數據庫)、CVSS(通用漏洞評估系統)等。我國信創軟件的傳統漏洞檢測工具,均依賴上述漏洞庫提供的漏洞特征,對信創軟件進行已知漏洞檢測。
三、“兩庫”給信創軟件帶來的漏洞挑戰
2021年7月,工業和信息化部、國家互聯網信息辦公室、公安部聯合發布《網絡產品安全漏洞管理規定》,規范了產品漏洞發現、報告、修補和發布等行為;明確了產品開發商、產品服務商、漏洞發現者、漏洞發布者等各類主體的責任和義務。信創軟件市場的高速增長,催生出大量的信創軟件代碼、產品、開發商與服務商。而信創軟件的激增,也必然引發其安全漏洞的激增。控制安全漏洞的數量、破壞性與影響范圍,保障的信創軟件的可信性和安全性,既是遵循法律法規的明確要求,也是整個信創安全體系的基礎,成為目前亟須解決的問題。
開源軟件庫與安全漏洞庫作為信創軟件的重要組成部分,在提升信創軟件的研發效率、提供已知漏洞檢測的數據支撐的同時,也為信創軟件帶來了安全漏洞的挑戰:
(1)信創軟件開發大量依賴開源軟件,但對開源軟件的安全漏洞缺乏足夠的了解。開源軟件安全漏洞的依賴關系、影響范圍、破壞程度等信息不明確,將給信創軟件帶來極大的安全風險。
(2)受到開源社區影響以及國際關系制約,信創軟件的底層架構和依賴的第三方組件,可能會面臨斷供的風險,若未遵循開源許可協議,也會引發知識產權糾紛。
(3)面對激增的信創軟件代碼及產品,缺少與其匹配的安全漏洞檢測能力與手段:依靠人工檢測,檢測效率無法覆蓋代碼的增長速度。依靠漏洞庫提供的漏洞特征進行檢測,但由于信創軟件與通用軟件的技術架構與運行環境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫并不能完全適用與信創軟件。
四、面對開源軟件,加強軟件成分分析能力
信創產業方興未艾,基于開源軟件庫提供的開源軟件進行研發,可以大幅提升信創軟件的研發效率,但這種方式不僅會繼承來自開源軟件的安全漏洞,還要遵循GPL/LGPL/BSD等相關開源許可協議,否則可能會引發斷供風險以及知識產權糾紛。
解決上述問題,軟件成分分析(SCA,Software Composition Analysis)是最行之有效的技術手段。軟件成分分析,是一種對二進制軟件的組成部分進行識別、分析和追蹤的技術,專門用于分析開發人員使用的各種源碼、模塊、框架和庫,以識別和清點開源軟件的組件及其構成和依賴關系,并識別已知的安全漏洞或者潛在的許可證授權問題,把這些風險排查在軟件系統投產之前,也適用于軟件系統運行中的診斷分析。具體可描述為如下四部分能力:
(1)軟件物料清單分析能力:掃描并生成與信創軟件一起出現的開源軟件列表,包括在構建階段解析到的所有依賴項,這一輸出結果就是軟件物料清單,通常包括:軟件名稱、軟件版本、來源或分布、文件路徑等信息。
(2)開源許可協議風險管理能力:對開源軟件進行許可協議分析,明確其商業化限制,有助于規范的使用開源軟件,避免信創軟件因政治原因或違反開源協議,引發斷供風險以及知識產權糾紛。
(3)開源軟件已知漏洞檢測能力:基于安全漏洞庫,對軟件物料清單中的開源軟件版本,進行已知漏洞特征比對,識別該開源軟件存在的已知漏洞,并分析漏洞對信創軟件帶來的安全風險。
(4)開源軟件未知漏洞挖掘能力:基于模糊測試技術(具體詳見第五章),對軟件物料清單中的開源軟件版本,進行未知漏洞挖掘,補充安全漏洞庫所不具備的未知漏洞檢測能力。
五、基于模糊測試,補齊漏洞檢測能力短板
基于安全漏洞庫提供的已知漏洞特征,進行已知漏洞檢測,能夠部分解決信創軟件的安全漏洞問題。但為了有效的保障信創軟件的可信性和安全性,仍有如下幾個方面需要改進:
(1)缺少信創軟件專用漏洞庫:信創軟件是近些年的新興產物,且與通用軟件的技術架構與運行環境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫缺少對信創軟件的漏洞積累,現有漏洞也不能完全適用于信創軟件,我們需要積累專屬于信創軟件的漏洞庫,為信創軟件提供更加準確的漏洞的技術支撐和數據支持。
(2)降低信創軟件已知漏洞誤報率:基于漏洞庫提供的已知漏洞特征,可以快速識別已知漏洞,但另一方面也不可避免的造成了大量的誤報信息。我們需要優化漏洞檢測機制,補充漏洞定位及復現能力,從而降低信創軟件漏洞誤報率,提高漏洞處置效率。
(3)提升信創軟件未知漏洞挖掘能力:通過已知漏洞特征比對,可以發現已知漏洞,但對未知漏洞無能為力。并且已知漏洞特征的積累,也是來源與對未知漏洞的發現與分析。所以對未知漏洞的挖掘才是信創軟件漏洞檢測的底層能力,也是我們當前最為缺失的能力,亟須提升。
面對上述改進需求,模糊測試(Fuzzing)是最行之有效的技術手段。模糊測試是一種軟件自動化測試技術,通過構造隨機的、非預期的畸形數據作為程序的輸入,并監控程序執行過程中可能產生的異常,之后將這些異常作為分析的起點,確定漏洞的可利用性。
1988年,巴頓·米勒教授在針對UNIX操作系統質量問題的測試項目中,第一次引入了模糊測試的概念。通過大量輸入完全隨機的數據進行測試,能夠引發大部分軟件出現崩潰問題。雖然效果顯著,但依然存在測試效率較低、漏洞產出不穩定等問題。
2013年,AFL(American Fuzzy Lop)發布。這是一種基于覆蓋引導的智能模糊測試技術,通過編譯時插樁探索程序內部的執行路徑,從而提高代碼覆蓋率,改善了傳統模糊測試技術效率較低、漏洞不穩定等問題。華為、微軟、谷歌等企業開始大范圍應用模糊測試技術,并取得了極其顯著的效果。但因為技術門檻過高,模糊測試技術目前只能在各頭部大廠中得以應用。
2021年,北京云起無垠科技有限公司成立。創始團隊出身清華,多年來,在優化模糊測試算法的同時,也大幅降低了該項技術的使用門檻。云起無垠致力于將模糊測試技術產品化,讓更多的企業可以享受到模糊測技術帶來的便利,其產品具備如下優勢:
(1)海量測試用例:利用AI遺傳算法輔助測試用例智能變異,基于反饋學習機制,自動生成海量(億萬級)測試用例,對目標軟件進行安全檢測,提升軟件檢測覆蓋率。
(2)誤報率為零:基于內存級別的細粒度檢測能力與動態執行驗證能力,產品檢測缺陷誤報率無限趨近于零,且對被發現的軟件缺陷,可定位、可復現、可驗證。
(3)發現未知缺陷:通過對軟件的運行態進行安全檢測,基于覆蓋率引導技術定向引導測試用例變異,觸發傳統檢測手段容易忽略的異常分支,從而發現未知缺陷。
(4)降低人力成本:對軟件進行自動化動態檢測,中間過程無需人工參與,大幅提升檢測效率,降低人力成本。
未來,云起無垠將基于模糊測試、軟件成分分析等技術,專注于軟件供應鏈安全領域,致力于解決軟件(開源、閉源)已知和未知漏洞等威脅問題。同時,不斷完善各類解決方案,為信創產業的發展提供安全助力,促進產業升級,向前發展。(云起無垠CTO|崔卓)
