隨著國産信創軟體環境下開源安全風險與日俱增,嚴重阻礙信創軟體的發展、信創産業的探索、信創技術邁進和國家資訊安全,面向信創領域的開源安全存在重大攻堅難點。為解決信創領域開源安全難題,安全玻璃盒通過深度的技術打磨,重磅發佈基於AI模型的二進位函數級SCA産品——安全玻璃盒開源軟體安全分析系統SCA。
針對信創軟體環境下源碼分析困難、開源成分不清、漏洞危害難以溯源、法律侵權風險難以鑒別等核心問題,安全玻璃盒開源軟體安全分析系統SCA基於AI語言模型,通過自研的二進位函數級關鍵分析技術,實現在無源碼情況下信創軟體的安全性檢測與評估,為信創軟體供應鏈“明安全之道”。
領先自研硬實力
“明”信創軟體供應鏈“安全之道”
•深入且精準的最強大腦:自研AI啟髮式二進位識別解包
傳統通過識別文件尾碼與文件頭部字節的識別方式已無法識別出複雜多樣化的二進位文件,無法正確識別就無法對二進位文件進行深度分析。安全玻璃盒自研的基於多層感知機深度學習的AI啟髮式二進位識別與解包模型可以解決這個問題,通過對大量不同格式的文件特徵訓練,廣泛學習,可以深入了解、精準解析各個應用場景下的二進位文件,該技術突破了以往二進位文件分析方式。
•高準確率、高檢出率:自研二進位精細化多維度分析演算法
二進位精細化多維度分析演算法通過函數向量匹配、函數調用關係匹配、組件版本號匹配等多維度分析匹配,能夠保證檢測結果的準確性,大幅提升二進位軟體成分分析的可靠性,即使在面對字符串加密或缺失、符號擦除、不同平臺導致哈希特徵失效時,也能夠有效保證檢測的高準確率和高檢出率。
•佈局信創全面相容:自研AI函數級二進位檢測
通過構建基於多層卷積神經網路架構的深度學習AI模型,用於分析從二進位內提取的各種特徵,並確保模型在各種平臺上的廣泛應用,進行全面的相容適配,包括多種作業系統、處理器架構和編譯器,從而滿足在信創環境下的各種國産與非國産的通用機、大型機和小型機平臺上進行精確的二進位函數級分析。
為安全治理管控提供頂層支援能力
那麼,安全玻璃盒開源軟體安全分析系統SCA,都有哪些絲滑技巧呢?
除了在技術層面突破傳統二進位檢測能力,我們還站在安全治理管控視角,拓寬了産品核心使用與能力維度。
•一鍵二進位檢測,輕鬆獲取成分資訊
安全玻璃盒開源軟體安全分析系統SCA採用一鍵式二進位檢測,“上傳-解包-檢測”一氣呵成。無需擔心二進位文件格式是否支援、封裝格式能否解析、跨平臺能否相容。
一鍵創建檢測任務
•五維檢測引擎,更為精準的分析演算法
安全玻璃盒安全研究團隊通過自研二進位函數級檢測引擎,融合多種匹配演算法,形成一套具備高覆蓋與低誤報優勢的業內領先的演算法模型。提供開源軟體風險溯源路徑和五維相似度檢測依據,便於安全管理者對結果進行校驗審計。
開源組件綜合匹配詳情
•支援人工結果審計,助力安全管控治理
為進一步滿足用戶的安全檢測需求,産品支援自定義調整演算法檢測模型、定制演算法模型置信度,用戶可對文件級、應用級進行開源軟體相似結果審計,助力安全人員快速介入檢測、精確掌握結果數據、全流程閉環管控。
實踐場景能力切入
•信創軟體開源漏洞風險檢測
産品已建立面向信創領域的軟體基因數據庫,相容多種標準漏洞庫,並收錄多源在野漏洞資訊、漏洞利用案例等關鍵數據。在識別開源成分的同時,匹配開源漏洞數據,並能夠提供詳盡的漏洞風險溯源路徑、關聯攻擊模式、漏洞修復方案等。
•信創軟體智慧財産權風險檢測
針對信創産業時常面臨的開源軟體智慧財産權風險,産品通過收錄3000+開源許可證、商業許可證,在識別開源成分的同時,匹配開源許可數據,提供詳細的許可條款解析。評估在不同項目屬性中,開源許可呈現的風險級別與相容風險。
•信創軟體供應鏈斷供風險評估
由於開源生態基礎設施受限于地緣政治管控和軟體屬地出口管制政策約束,一旦發生國際供應鏈制裁,信創軟體的底層架構和第三方依賴將面臨著斷供風險。産品通過持續監控採集開源軟體關鍵基礎資訊,形成開源軟體關鍵特徵庫,基於行業評估標準、産業評估要求等形成多套開源軟體評估模型,形成完備的開源軟體監控體系與風險態勢感知。為信創産業平穩發展,提高信創企業軟體供應鏈健康度。
信創領域的開源軟體供應鏈安全不僅關係著我國信創産業的整體發展,更關乎我國關鍵基礎設施和國家資訊安全。安全玻璃盒致力於保障信創軟體環境下的開源軟體供應鏈安全和可持續性,著力提升信創産業核心技術水準和支撐保障能力,助力國産信創産業與數字化中國構建安全底座。
關於安全玻璃盒:
安全玻璃盒【杭州孝道科技有限公司】是一家專注于為用戶提供軟體供應鏈安全産品和解決方案的國家高新技術企業、省級專精特新企業。公司已擁有三十余項技術發明專利和七十余項自主軟體著作權,通過基於AI模型和卷積神經網路,自主研發了全鏈路智慧動態污點分析、函數級智慧基因檢測與自動化驗證等核心技術與産品,為用戶提供DevSecOps安全開發解決方案、軟體供應鏈安全一體化解決方案、上線即安全與免疫防禦解決方案、基於SBOM開源軟體供應鏈安全情報與治理、軟體供應鏈安全安全檢查評估工具等。目前已覆蓋各大關鍵基礎設施行業的TOP級用戶,同時也服務了亞運會軟體供應鏈安全檢查、關鍵基礎設施用戶軟體供應鏈安全專項檢查等技術支撐工作。