近日，云起無垠無垠代碼模糊測(cè)試系統(tǒng)參與了中國信通院《模糊測(cè)試架構(gòu)能力要求》標(biāo)準(zhǔn)評(píng)估?！赌：郎y(cè)試架構(gòu)能力要求》為了以更標(biāo)準(zhǔn)的形式來驗(yàn)證模糊測(cè)試產(chǎn)品的安全能力，其標(biāo)準(zhǔn)規(guī)范了黑盒、灰盒模糊測(cè)試的平臺(tái)能力及引擎能力，共包含了4個(gè)能力域、28個(gè)能力項(xiàng)、246個(gè)能力指標(biāo)，提供了模糊測(cè)試平臺(tái)能力建設(shè)的全方針指導(dǎo)。根據(jù)模糊測(cè)試平臺(tái)在不同能力域的綜合表現(xiàn)，分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)、先進(jìn)級(jí)3個(gè)能力等級(jí)。

經(jīng)過中國信通院的檢驗(yàn)，無垠代碼模糊測(cè)試系統(tǒng)以最高分通過了《模糊測(cè)試架構(gòu)能力要求》的指標(biāo)檢驗(yàn)，其灰盒平臺(tái)能力域和灰盒引擎能力域，均達(dá)到了模糊測(cè)試技術(shù)分級(jí)能力評(píng)估的“先進(jìn)級(jí)”要求，產(chǎn)品能力得到了高度認(rèn)可。

圖1 能力檢驗(yàn)證書

軟件是新一代信息技術(shù)的靈魂，是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)，是制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國建設(shè)的關(guān)鍵支撐。目前，我國軟件和信息技術(shù)服務(wù)業(yè)產(chǎn)業(yè)規(guī)模效益快速增長，軟件和信息技術(shù)服務(wù)業(yè)創(chuàng)新體系基本建立，推動(dòng)新技術(shù)、新產(chǎn)品、新模式、新業(yè)態(tài)快速發(fā)展，促進(jìn)生活方式、生產(chǎn)方式、社會(huì)治理加速變革。然而，隨著軟件總體數(shù)量的提升，軟件質(zhì)量事故仍不斷涌現(xiàn)。

作為新一代的智能模糊測(cè)試領(lǐng)跑者，云起無垠自成立以來始終專注于模糊測(cè)試技術(shù)的研發(fā)和創(chuàng)新，并以此為核心，構(gòu)建了一系列基于模糊測(cè)試的產(chǎn)品和服務(wù)，致力于在各種場(chǎng)景下協(xié)助企業(yè)解決安全漏洞挖掘的問題，為企業(yè)帶來更完善、更安全的產(chǎn)品服務(wù)體驗(yàn)。

圖2 產(chǎn)品服務(wù)矩陣

1.技術(shù)創(chuàng)新：AIGC賦能智能模糊測(cè)試

GPT大模型的高速發(fā)展，已對(duì)各行業(yè)的生產(chǎn)范式造成了顛覆性的影響。作為新一代智能模糊測(cè)試領(lǐng)跑者，云起無垠率先將AIGC模式融入產(chǎn)品，賦能軟件開發(fā)階段，在測(cè)試樣例自動(dòng)化生成與漏洞自動(dòng)化修復(fù)工作中均有顯著成效。

安全漏洞檢測(cè)：AIGC融入智能模糊測(cè)試之后，可針對(duì)特定的輸入類型、未知缺陷漏洞進(jìn)一步優(yōu)化測(cè)試樣例的生成過程，極大提高了測(cè)試樣例的質(zhì)量和生成效率。而且，基于覆蓋引導(dǎo)等技術(shù)，可以針對(duì)性地對(duì)應(yīng)用程序進(jìn)行定向檢測(cè)，深度探索代碼邊界，有效檢測(cè)已知與未知威脅。

安全漏洞修復(fù)：智能代碼模糊測(cè)試可精準(zhǔn)定位存在缺陷的代碼片段，并對(duì)漏洞的成因進(jìn)行復(fù)現(xiàn)。通過采用AIGC的模式，將錯(cuò)誤代碼片段等檢測(cè)結(jié)果作為缺陷修復(fù)模型的輸入，可自動(dòng)生成修復(fù)后的代碼。這種方式大幅度提高了缺陷修復(fù)效率，降低了缺陷修復(fù)的技術(shù)門檻。

總的來說，通過將模糊測(cè)試與AIGC深度融合，使云起無垠智能模糊測(cè)試解決方案在自動(dòng)化程度、測(cè)試深度、測(cè)試效率、缺陷修復(fù)等維度取得了極大的能力提升，開啟了智能安全檢測(cè)新篇章。

2.云起無垠產(chǎn)品服務(wù)矩陣

無垠代碼模糊測(cè)試系統(tǒng)

云起無垠基于智能模糊測(cè)試技術(shù)，融合GPT大模型，在變異算法、遺傳算法、覆蓋引導(dǎo)等眾多技術(shù)基礎(chǔ)之上研發(fā)設(shè)計(jì)了無垠代碼模糊測(cè)試系統(tǒng)。無垠代碼模糊測(cè)試系統(tǒng)可應(yīng)用于開發(fā)、測(cè)試、集成等環(huán)節(jié)，針對(duì)源代碼/二進(jìn)制文件進(jìn)行安全檢測(cè)，相比傳統(tǒng)檢測(cè)工具的自動(dòng)化安全檢測(cè)方式，不僅可以高效地對(duì)“已知和未知”漏洞進(jìn)行挖掘和檢測(cè)分析，還融合了AIGC模式，可自動(dòng)化地生成修復(fù)方案與修正后的安全代碼片段，大幅縮減了缺陷修復(fù)時(shí)間，降低了人工修復(fù)成本。

目前，支持獨(dú)立測(cè)試模式和CI/CD集成模式。

圖3 獨(dú)立測(cè)試模式

圖4 CI/CD集成模式

相比傳統(tǒng)安全檢測(cè)工具，無垠代碼模糊測(cè)試系統(tǒng)具有四大優(yōu)勢(shì)：

1）檢測(cè)零誤報(bào)、漏洞可復(fù)現(xiàn)

基于動(dòng)態(tài)執(zhí)行的測(cè)試方法，確保所有檢出缺陷，可定位、可復(fù)現(xiàn)、可驗(yàn)證，且誤報(bào)率趨近于零。

2）測(cè)試粒度更細(xì)、覆蓋場(chǎng)景更全

基于AIGC的智能模糊測(cè)試，在樣例生成階段依托AI遺傳變異算法與覆蓋引導(dǎo)等技術(shù)，可自動(dòng)生成海量（億級(jí)）高質(zhì)量測(cè)試用例，整體粒度會(huì)更細(xì)，測(cè)試點(diǎn)更多，判斷位置也會(huì)更精準(zhǔn)，顯著提升了測(cè)試效果與覆蓋率。該方案不僅可以應(yīng)用于Web應(yīng)用檢測(cè)，還可用于協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等測(cè)試粒度要求更高的檢測(cè)場(chǎng)景。

3）精準(zhǔn)檢測(cè)未知漏洞

通過使用AIGC生成各種類型畸變測(cè)試數(shù)據(jù)，可以增加Fuzzing測(cè)試的多樣性和復(fù)雜性，從而發(fā)現(xiàn)更多類型缺陷與未知0day漏洞。例如，通過生成包含特殊字符或嵌入式命令的字符串，可以測(cè)試程序?qū)τ诓煌斎霐?shù)據(jù)的容錯(cuò)性和安全性。

4）大幅降低漏洞修復(fù)成本

通過將AIGC與模糊測(cè)試相結(jié)合，可以更快地生成漏洞修復(fù)建議，進(jìn)一步提高漏洞修復(fù)的效率；而且，融合AIGC的模糊測(cè)試可實(shí)現(xiàn)漏洞自動(dòng)化挖掘與修復(fù)的全流程閉環(huán)，大幅提升測(cè)試人員的工作效率，從而節(jié)省修復(fù)成本。

無垠協(xié)議模糊測(cè)試系統(tǒng)

無垠協(xié)議模糊測(cè)試系統(tǒng)是云起無垠自主研發(fā)的黑盒協(xié)議模糊測(cè)試系統(tǒng)，通過向目標(biāo)提供非預(yù)期的輸入并監(jiān)視異常結(jié)果，自動(dòng)化檢測(cè)系統(tǒng)缺陷并驗(yàn)證協(xié)議功能，從源頭助力企業(yè)實(shí)現(xiàn)自動(dòng)化安全檢測(cè)，提升協(xié)議應(yīng)用的安全性與健壯性。

圖5 協(xié)議模糊測(cè)試應(yīng)用場(chǎng)景

精準(zhǔn)、智能、無侵入的產(chǎn)品優(yōu)勢(shì)如下：

1）豐富的協(xié)議支持

覆蓋近百種主流網(wǎng)絡(luò)協(xié)議，支持創(chuàng)建自定義協(xié)議模型；

2）全自動(dòng)安全檢測(cè)

測(cè)試用例自動(dòng)生成，測(cè)試策略自動(dòng)優(yōu)化，檢出漏洞自動(dòng)驗(yàn)證；

3）未知問題，提前防御

海量變異測(cè)試用例，支持檢測(cè)已知漏洞，善于發(fā)現(xiàn)未知漏洞；

4）豐富的檢測(cè)報(bào)告

提供準(zhǔn)確報(bào)告，包含故障分類、修復(fù)建議、漏洞詳情等關(guān)鍵信息；

5）消除檢測(cè)誤報(bào)噪音

模擬程序真實(shí)運(yùn)行環(huán)境，確保所有檢出缺陷可復(fù)現(xiàn)、0誤報(bào)；

6）無侵入

采用黑盒檢測(cè)方式，不侵入系統(tǒng)或工程代碼，發(fā)現(xiàn)深層漏洞；

無瑕軟件缺陷分析系統(tǒng)

無瑕軟件缺陷分析系統(tǒng)是自主研發(fā)的源代碼靜態(tài)分析工具，結(jié)合深度軟件分析方法和深度學(xué)習(xí)方法，能夠檢測(cè)到大量已有軟件安全測(cè)試工具無法檢測(cè)的深層安全漏洞，并有效消除大量誤報(bào)。

產(chǎn)品優(yōu)勢(shì)如下：

1）檢測(cè)精度“更準(zhǔn)”

智能學(xué)習(xí)，自動(dòng)排除誤報(bào)，誤報(bào)率僅為其他產(chǎn)品的1/3。

2）檢測(cè)速度“更快”

采用自主專利技術(shù)的程序分析引擎，多種創(chuàng)新性的靜態(tài)分析技術(shù)，縮短1/3檢測(cè)時(shí)間。

3）檢測(cè)深度“更深”

支持上千萬行代碼的跨文件、跨類、跨函數(shù)的缺陷/漏洞檢測(cè)。

4）檢測(cè)漏洞“更多”

能夠查找更多的已知/未知深度安全漏洞。

無塵軟件成分分析系統(tǒng)

基于“左移安全”和DevSCAOps的理念打造的一款全方位智能軟件成分分析平臺(tái)，平臺(tái)同時(shí)具備源代碼、組件依賴、二進(jìn)制、容器鏡像4大核心成分分析引擎，能夠快速、準(zhǔn)確識(shí)別軟件中所使用到的第三方開源組件，然后通過關(guān)聯(lián)分析技術(shù)識(shí)別軟件中潛在的安全漏洞和許可證信息，綜合判斷相關(guān)風(fēng)險(xiǎn)，并給出相關(guān)風(fēng)險(xiǎn)修復(fù)建議，并依托SBOM臺(tái)賬管理能力賦能企業(yè)對(duì)內(nèi)部軟件資產(chǎn)形成全面、持續(xù)的安全運(yùn)營。

平臺(tái)旨在賦能企業(yè)開源安全與合規(guī)治理能力，幫助企業(yè)做到軟件產(chǎn)品實(shí)際意義上的可知可控，護(hù)航企業(yè)網(wǎng)絡(luò)安全。

產(chǎn)品優(yōu)勢(shì)如下：

相比傳統(tǒng)的SCA產(chǎn)品，無塵軟件成分分析系統(tǒng)可以檢測(cè)多種類型目標(biāo)，支持文件級(jí)漏洞同源分析，支持信創(chuàng)軟件代碼自主率分析，數(shù)據(jù)高頻更新，并提供標(biāo)準(zhǔn)格式的SBOM清單生成和管理功能，有效支撐用戶業(yè)務(wù)需求。

1）軟件成分分析，同時(shí)支持源碼、組件依賴、二進(jìn)制文件、容器鏡像

2）漏洞分析，支持組件漏洞關(guān)聯(lián)分析，支持文件級(jí)漏洞同源分析

3）許可合規(guī)分析，同時(shí)支持組件自身風(fēng)險(xiǎn)、沖突性風(fēng)險(xiǎn)、篡改風(fēng)險(xiǎn)

4）支持代碼版權(quán)合規(guī)分析

5）支持代碼自主率分析

6）DevOps工具鏈支持

7）數(shù)據(jù)更新頻率為日更新

8）軟件資產(chǎn)管理，支持國際標(biāo)準(zhǔn)SPDX格式的SBOM清單生成與管理

智能模糊測(cè)試服務(wù)

依托服務(wù)團(tuán)隊(duì)十余年安全行業(yè)的經(jīng)驗(yàn)積累，云起無垠為企業(yè)帶來了創(chuàng)新性的智能模糊測(cè)試服務(wù)，其中涵蓋物聯(lián)網(wǎng)/IOT類安全測(cè)試服務(wù)、車載設(shè)備/車聯(lián)網(wǎng)安全檢測(cè)、服務(wù)組件類安全檢測(cè)及定向漏洞挖掘服務(wù)，幫助企業(yè)構(gòu)筑更完善的安全防線，提供更全面的安全解決方案。

　　圖6 模糊測(cè)試服務(wù)

模糊測(cè)試服務(wù)優(yōu)勢(shì)包括如下：

1）多領(lǐng)域?qū)I(yè)服務(wù)：云起無垠在網(wǎng)絡(luò)安全、物聯(lián)網(wǎng)/IoT、云計(jì)算、大數(shù)據(jù)和區(qū)塊鏈等領(lǐng)域的專業(yè)團(tuán)隊(duì)為客戶提供優(yōu)質(zhì)的技術(shù)服務(wù)。

2）豐富的專家經(jīng)驗(yàn)：云起無垠的專家團(tuán)隊(duì)?wèi){借豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，可快速理解并定位客戶的核心需求，降低溝通成本，并為客戶提供量身定制化的解決方案。

3）先進(jìn)的技術(shù)手段：云起無垠的安全專家曾多次在國際頂尖的信息安全大賽獲獎(jiǎng)，多次在全球知名公開會(huì)議上發(fā)表議題，技術(shù)水平在行業(yè)內(nèi)處于尖端位置。

4）嚴(yán)格的質(zhì)量控制：云起無垠安全服務(wù)建立了完善的質(zhì)量控制體系，從項(xiàng)目啟動(dòng)、需求分析、開發(fā)、交付、維護(hù)等環(huán)節(jié)都有一套完整的質(zhì)量控制方案，項(xiàng)目經(jīng)理全程跟進(jìn)，以確?？蛻舻拿恳粋€(gè)項(xiàng)目均能按時(shí)、高質(zhì)量、高標(biāo)準(zhǔn)完成。

作為一種先進(jìn)的漏洞挖掘與穩(wěn)定性檢測(cè)手段，模糊測(cè)試技術(shù)的探索仍在繼續(xù)。接下來，云起無垠將依托信通院模糊測(cè)試架構(gòu)能力要求標(biāo)準(zhǔn)，繼續(xù)深耕模糊測(cè)試技術(shù)，構(gòu)建更完善的產(chǎn)品服務(wù)矩陣，并致力于軟件開發(fā)安全和軟件質(zhì)量的提升，為客戶提供符合行業(yè)標(biāo)準(zhǔn)、使用場(chǎng)景的解決方案，共同推動(dòng)以模糊測(cè)試為代表的系統(tǒng)穩(wěn)定性技術(shù)理念落地，填補(bǔ)技術(shù)理論與實(shí)踐的鴻溝。

關(guān)于云起無垠

云起無垠是新一代AI賦能軟件供應(yīng)鏈安全實(shí)踐者，致力于推動(dòng)AI賦能信息系統(tǒng)安全智能化檢測(cè)和缺陷自動(dòng)化修復(fù)。團(tuán)隊(duì)匯聚了來自清華、北郵等知名高校以及華為、騰訊等頭部IT企業(yè)的安全領(lǐng)域創(chuàng)新人才，擁有世界一流的自動(dòng)化漏洞檢測(cè)與挖掘能力，產(chǎn)品覆蓋智能模糊測(cè)試、源代碼缺陷分析、軟件成分分析、智能安全知識(shí)庫等方向。

云起無垠已獲得數(shù)十項(xiàng)軟件著作權(quán)和專利，已通過ISO 9001、ISO 20000、ISO 27001等認(rèn)證，參與二十多項(xiàng)國家及行業(yè)標(biāo)準(zhǔn)制定，服務(wù)于能源、金融、通信、汽車等多個(gè)行業(yè)。公司成立以來，已完成多輪數(shù)千萬級(jí)融資。