信創(chuàng)與“863計劃”、“973計劃”一脈相承,是我國IT產(chǎn)業(yè)發(fā)展升級采取的長期計劃。其本質(zhì)是發(fā)展國產(chǎn)信息產(chǎn)業(yè),旨在實(shí)現(xiàn)“自主可控、安全可靠”的發(fā)展目標(biāo),同時也是國家經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型、提升產(chǎn)業(yè)鏈發(fā)展的關(guān)鍵。

　　一、信創(chuàng)產(chǎn)業(yè)及信創(chuàng)軟件

　　信創(chuàng)產(chǎn)業(yè),即信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè),是我國 IT 產(chǎn)業(yè)發(fā)展升級采取的長期計劃。信創(chuàng)建設(shè)從黨政試點(diǎn),關(guān)鍵行業(yè)逐步推廣(2+8+N),逐步建立自主的 IT 底層架構(gòu)和標(biāo)準(zhǔn),實(shí)現(xiàn)全I(xiàn)T全產(chǎn)業(yè)鏈實(shí)力和結(jié)構(gòu)的優(yōu)化升級,主要包含IT基礎(chǔ)設(shè)施、基礎(chǔ)軟件、應(yīng)用軟件和信息安全等板塊。

　　根據(jù)中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二零三五年遠(yuǎn)景目標(biāo)的建議相關(guān)內(nèi)容,國家十四五規(guī)劃以高質(zhì)量發(fā)展為主題,改革創(chuàng)新為根本動力,加快建設(shè)現(xiàn)代化經(jīng)濟(jì)體系。經(jīng)濟(jì)發(fā)展重要方向上,要強(qiáng)化國內(nèi)市場建設(shè)、擴(kuò)大內(nèi)需,以創(chuàng)新能力做驅(qū)動,積極發(fā)展戰(zhàn)略新興產(chǎn)業(yè)、基礎(chǔ)設(shè)施和數(shù)字化建設(shè)。信創(chuàng)產(chǎn)業(yè)以信息技術(shù)產(chǎn)業(yè)為根基,通過科技創(chuàng)新,構(gòu)建國內(nèi)信息技術(shù)產(chǎn)業(yè)生態(tài)體系,是實(shí)現(xiàn)國家十四五規(guī)劃發(fā)展目標(biāo)的重要抓手。

　　隨著信創(chuàng)產(chǎn)業(yè)的推進(jìn),我國的基礎(chǔ)軟件(包含操作系統(tǒng)、中間件、數(shù)據(jù)庫等)及應(yīng)用軟件市場,將出現(xiàn)海量的信創(chuàng)替代和增量采購需求。據(jù)統(tǒng)計,僅以應(yīng)用軟件市場為例,2022年中國信創(chuàng)應(yīng)用軟件市場規(guī)模約5944.4 億元,2025年預(yù)計將達(dá)到1.5萬億元,2021-2025年復(fù)合增長率約35.1%。

　　圖 信創(chuàng)產(chǎn)業(yè)鏈

　　二、“兩庫”是信創(chuàng)軟件的重要組成部分

　　“兩庫”是對開源軟件庫與安全漏洞庫的統(tǒng)稱,它們是信創(chuàng)軟件不可或缺的組成部分,開源軟件庫大幅提升了信創(chuàng)軟件的研發(fā)效率,安全漏洞庫則為信創(chuàng)軟件提供了已知漏洞檢測的數(shù)據(jù)支撐。

　　(1)開源軟件庫:簡稱開源庫,根據(jù)相應(yīng)的開源軟件許可證協(xié)議,公布軟件源代碼的網(wǎng)絡(luò)平臺。任何個人或組織均可下載并使用開源軟件的全部功能,也可以根據(jù)自己的需求修改源代碼,甚至編制成衍生產(chǎn)品再次發(fā)布出去,但需遵循開源許可協(xié)議,否則可能會引發(fā)知識產(chǎn)權(quán)糾紛。例如,2021年廣東省某科技公司便因違反GPL3.0 協(xié)議下的源代碼授權(quán)保護(hù),被法院判為侵權(quán)并處于罰款。除了開源許可違規(guī)的潛在風(fēng)險外,使用開源軟件還可能面臨安全問題,Synopsys在《2022開源安全和風(fēng)險分析報告》中指出,97%的代碼倉庫包含開源軟件,其中81%的開源軟件含有漏洞。信創(chuàng)產(chǎn)業(yè)方興未艾,基于開源軟件開發(fā)信創(chuàng)軟件,可以大幅提升開發(fā)效率,但也不可避免的繼承了開源軟件帶來的安全漏洞。

　　(2)安全漏洞庫:簡稱漏洞庫,通過主動挖掘、社會提交、協(xié)作共享等方式,收集基礎(chǔ)軟件、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等軟硬件系統(tǒng)的信息安全漏洞,并建立規(guī)范的漏洞研判處置流程、通暢的信息共享通報機(jī)制以及完善的技術(shù)協(xié)作體系,為重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。我國的安全漏洞庫主要包括:CNVD(國家信息安全漏洞共享平臺)、CNNVD(中國國家信息安全漏洞庫)等,另外,國際上的主流安全漏洞庫還包括:CWE(通用缺陷枚舉庫)、CVE(通用漏洞披露庫)、NVD(美國國家漏洞數(shù)據(jù)庫)、CVSS(通用漏洞評估系統(tǒng))等。我國信創(chuàng)軟件的傳統(tǒng)漏洞檢測工具,均依賴上述漏洞庫提供的漏洞特征,對信創(chuàng)軟件進(jìn)行已知漏洞檢測。

　　三、“兩庫”給信創(chuàng)軟件帶來的漏洞挑戰(zhàn)

　　2021年7月,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,規(guī)范了產(chǎn)品漏洞發(fā)現(xiàn)、報告、修補(bǔ)和發(fā)布等行為;明確了產(chǎn)品開發(fā)商、產(chǎn)品服務(wù)商、漏洞發(fā)現(xiàn)者、漏洞發(fā)布者等各類主體的責(zé)任和義務(wù)。信創(chuàng)軟件市場的高速增長,催生出大量的信創(chuàng)軟件代碼、產(chǎn)品、開發(fā)商與服務(wù)商。而信創(chuàng)軟件的激增,也必然引發(fā)其安全漏洞的激增�？刂瓢踩�漏洞的數(shù)量、破壞性與影響范圍,保障的信創(chuàng)軟件的可信性和安全性,既是遵循法律法規(guī)的明確要求,也是整個信創(chuàng)安全體系的基礎(chǔ),成為目前亟須解決的問題。

　　開源軟件庫與安全漏洞庫作為信創(chuàng)軟件的重要組成部分,在提升信創(chuàng)軟件的研發(fā)效率、提供已知漏洞檢測的數(shù)據(jù)支撐的同時,也為信創(chuàng)軟件帶來了安全漏洞的挑戰(zhàn):

　　(1)信創(chuàng)軟件開發(fā)大量依賴開源軟件,但對開源軟件的安全漏洞缺乏足夠的了解。開源軟件安全漏洞的依賴關(guān)系、影響范圍、破壞程度等信息不明確,將給信創(chuàng)軟件帶來極大的安全風(fēng)險。

　　(2)受到開源社區(qū)影響以及國際關(guān)系制約,信創(chuàng)軟件的底層架構(gòu)和依賴的第三方組件,可能會面臨斷供的風(fēng)險,若未遵循開源許可協(xié)議,也會引發(fā)知識產(chǎn)權(quán)糾紛。

　　(3)面對激增的信創(chuàng)軟件代碼及產(chǎn)品,缺少與其匹配的安全漏洞檢測能力與手段:依靠人工檢測,檢測效率無法覆蓋代碼的增長速度。依靠漏洞庫提供的漏洞特征進(jìn)行檢測,但由于信創(chuàng)軟件與通用軟件的技術(shù)架構(gòu)與運(yùn)行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫并不能完全適用與信創(chuàng)軟件。

　　四、面對開源軟件,加強(qiáng)軟件成分分析能力

　　信創(chuàng)產(chǎn)業(yè)方興未艾,基于開源軟件庫提供的開源軟件進(jìn)行研發(fā),可以大幅提升信創(chuàng)軟件的研發(fā)效率,但這種方式不僅會繼承來自開源軟件的安全漏洞,還要遵循GPL/LGPL/BSD等相關(guān)開源許可協(xié)議,否則可能會引發(fā)斷供風(fēng)險以及知識產(chǎn)權(quán)糾紛。

　　解決上述問題,軟件成分分析(SCA,Software Composition Analysis)是最行之有效的技術(shù)手段。軟件成分分析,是一種對二進(jìn)制軟件的組成部分進(jìn)行識別、分析和追蹤的技術(shù),專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫,以識別和清點(diǎn)開源軟件的組件及其構(gòu)成和依賴關(guān)系,并識別已知的安全漏洞或者潛在的許可證授權(quán)問題,把這些風(fēng)險排查在軟件系統(tǒng)投產(chǎn)之前,也適用于軟件系統(tǒng)運(yùn)行中的診斷分析。具體可描述為如下四部分能力:

　　(1)軟件物料清單分析能力:掃描并生成與信創(chuàng)軟件一起出現(xiàn)的開源軟件列表,包括在構(gòu)建階段解析到的所有依賴項(xiàng),這一輸出結(jié)果就是軟件物料清單,通常包括:軟件名稱、軟件版本、來源或分布、文件路徑等信息。

　　(2)開源許可協(xié)議風(fēng)險管理能力:對開源軟件進(jìn)行許可協(xié)議分析,明確其商業(yè)化限制,有助于規(guī)范的使用開源軟件,避免信創(chuàng)軟件因政治原因或違反開源協(xié)議,引發(fā)斷供風(fēng)險以及知識產(chǎn)權(quán)糾紛。

　　(3)開源軟件已知漏洞檢測能力:基于安全漏洞庫,對軟件物料清單中的開源軟件版本,進(jìn)行已知漏洞特征比對,識別該開源軟件存在的已知漏洞,并分析漏洞對信創(chuàng)軟件帶來的安全風(fēng)險。

　　(4)開源軟件未知漏洞挖掘能力:基于模糊測試技術(shù)(具體詳見第五章),對軟件物料清單中的開源軟件版本,進(jìn)行未知漏洞挖掘,補(bǔ)充安全漏洞庫所不具備的未知漏洞檢測能力。

　　五、基于模糊測試,補(bǔ)齊漏洞檢測能力短板

　　基于安全漏洞庫提供的已知漏洞特征,進(jìn)行已知漏洞檢測,能夠部分解決信創(chuàng)軟件的安全漏洞問題。但為了有效的保障信創(chuàng)軟件的可信性和安全性,仍有如下幾個方面需要改進(jìn):

　　(1)缺少信創(chuàng)軟件專用漏洞庫:信創(chuàng)軟件是近些年的新興產(chǎn)物,且與通用軟件的技術(shù)架構(gòu)與運(yùn)行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫缺少對信創(chuàng)軟件的漏洞積累,現(xiàn)有漏洞也不能完全適用于信創(chuàng)軟件,我們需要積累專屬于信創(chuàng)軟件的漏洞庫,為信創(chuàng)軟件提供更加準(zhǔn)確的漏洞的技術(shù)支撐和數(shù)據(jù)支持。

　　(2)降低信創(chuàng)軟件已知漏洞誤報率:基于漏洞庫提供的已知漏洞特征,可以快速識別已知漏洞,但另一方面也不可避免的造成了大量的誤報信息。我們需要優(yōu)化漏洞檢測機(jī)制,補(bǔ)充漏洞定位及復(fù)現(xiàn)能力,從而降低信創(chuàng)軟件漏洞誤報率,提高漏洞處置效率。

　　(3)提升信創(chuàng)軟件未知漏洞挖掘能力:通過已知漏洞特征比對,可以發(fā)現(xiàn)已知漏洞,但對未知漏洞無能為力。并且已知漏洞特征的積累,也是來源與對未知漏洞的發(fā)現(xiàn)與分析。所以對未知漏洞的挖掘才是信創(chuàng)軟件漏洞檢測的底層能力,也是我們當(dāng)前最為缺失的能力,亟須提升。

　　面對上述改進(jìn)需求,模糊測試(Fuzzing)是最行之有效的技術(shù)手段。模糊測試是一種軟件自動化測試技術(shù),通過構(gòu)造隨機(jī)的、非預(yù)期的畸形數(shù)據(jù)作為程序的輸入,并監(jiān)控程序執(zhí)行過程中可能產(chǎn)生的異常,之后將這些異常作為分析的起點(diǎn),確定漏洞的可利用性。

　　1988年,巴頓·米勒教授在針對UNIX操作系統(tǒng)質(zhì)量問題的測試項(xiàng)目中,第一次引入了模糊測試的概念。通過大量輸入完全隨機(jī)的數(shù)據(jù)進(jìn)行測試,能夠引發(fā)大部分軟件出現(xiàn)崩潰問題。雖然效果顯著,但依然存在測試效率較低、漏洞產(chǎn)出不穩(wěn)定等問題。

　　2013年,AFL(American Fuzzy Lop)發(fā)布。這是一種基于覆蓋引導(dǎo)的智能模糊測試技術(shù),通過編譯時插樁探索程序內(nèi)部的執(zhí)行路徑,從而提高代碼覆蓋率,改善了傳統(tǒng)模糊測試技術(shù)效率較低、漏洞不穩(wěn)定等問題。華為、微軟、谷歌等企業(yè)開始大范圍應(yīng)用模糊測試技術(shù),并取得了極其顯著的效果。但因?yàn)榧夹g(shù)門檻過高,模糊測試技術(shù)目前只能在各頭部大廠中得以應(yīng)用。

　　2021年,北京云起無垠科技有限公司成立。創(chuàng)始團(tuán)隊(duì)出身清華,多年來,在優(yōu)化模糊測試算法的同時,也大幅降低了該項(xiàng)技術(shù)的使用門檻。云起無垠致力于將模糊測試技術(shù)產(chǎn)品化,讓更多的企業(yè)可以享受到模糊測技術(shù)帶來的便利,其產(chǎn)品具備如下優(yōu)勢:

　　(1)海量測試用例:利用AI遺傳算法輔助測試用例智能變異,基于反饋學(xué)習(xí)機(jī)制,自動生成海量(億萬級)測試用例,對目標(biāo)軟件進(jìn)行安全檢測,提升軟件檢測覆蓋率。

　　(2)誤報率為零:基于內(nèi)存級別的細(xì)粒度檢測能力與動態(tài)執(zhí)行驗(yàn)證能力,產(chǎn)品檢測缺陷誤報率無限趨近于零,且對被發(fā)現(xiàn)的軟件缺陷,可定位、可復(fù)現(xiàn)、可驗(yàn)證。

　　(3)發(fā)現(xiàn)未知缺陷:通過對軟件的運(yùn)行態(tài)進(jìn)行安全檢測,基于覆蓋率引導(dǎo)技術(shù)定向引導(dǎo)測試用例變異,觸發(fā)傳統(tǒng)檢測手段容易忽略的異常分支,從而發(fā)現(xiàn)未知缺陷。

　　(4)降低人力成本:對軟件進(jìn)行自動化動態(tài)檢測,中間過程無需人工參與,大幅提升檢測效率,降低人力成本。

　　未來,云起無垠將基于模糊測試、軟件成分分析等技術(shù),專注于軟件供應(yīng)鏈安全領(lǐng)域,致力于解決軟件(開源、閉源)已知和未知漏洞等威脅問題。同時,不斷完善各類解決方案,為信創(chuàng)產(chǎn)業(yè)的發(fā)展提供安全助力,促進(jìn)產(chǎn)業(yè)升級,向前發(fā)展。(云起無垠CTO|崔卓)