應用并管控“兩庫”是信創(chuàng)軟件安全的核心能力

　　信創(chuàng)與“863計劃”、“973計劃”一脈相承,是我國IT產業(yè)發(fā)展升級采取的長期計劃。其本質是發(fā)展國產信息產業(yè),旨在實現(xiàn)“自主可控、安全可靠”的發(fā)展目標,同時也是國家經(jīng)濟數(shù)字化轉型、提升產業(yè)鏈發(fā)展的關鍵。

　　一、信創(chuàng)產業(yè)及信創(chuàng)軟件

　　信創(chuàng)產業(yè),即信息技術應用創(chuàng)新產業(yè),是我國 IT 產業(yè)發(fā)展升級采取的長期計劃。信創(chuàng)建設從黨政試點,關鍵行業(yè)逐步推廣(2+8+N),逐步建立自主的 IT 底層架構和標準,實現(xiàn)全IT全產業(yè)鏈實力和結構的優(yōu)化升級,主要包含IT基礎設施、基礎軟件、應用軟件和信息安全等板塊。

　　根據(jù)中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二零三五年遠景目標的建議相關內容,國家十四五規(guī)劃以高質量發(fā)展為主題,改革創(chuàng)新為根本動力,加快建設現(xiàn)代化經(jīng)濟體系。經(jīng)濟發(fā)展重要方向上,要強化國內市場建設、擴大內需,以創(chuàng)新能力做驅動,積極發(fā)展戰(zhàn)略新興產業(yè)、基礎設施和數(shù)字化建設。信創(chuàng)產業(yè)以信息技術產業(yè)為根基,通過科技創(chuàng)新,構建國內信息技術產業(yè)生態(tài)體系,是實現(xiàn)國家十四五規(guī)劃發(fā)展目標的重要抓手。

　　隨著信創(chuàng)產業(yè)的推進,我國的基礎軟件(包含操作系統(tǒng)、中間件、數(shù)據(jù)庫等)及應用軟件市場,將出現(xiàn)海量的信創(chuàng)替代和增量采購需求。據(jù)統(tǒng)計,僅以應用軟件市場為例,2022年中國信創(chuàng)應用軟件市場規(guī)模約5944.4 億元,2025年預計將達到1.5萬億元,2021-2025年復合增長率約35.1%。

　　圖 信創(chuàng)產業(yè)鏈

　　二、“兩庫”是信創(chuàng)軟件的重要組成部分

　　“兩庫”是對開源軟件庫與安全漏洞庫的統(tǒng)稱,它們是信創(chuàng)軟件不可或缺的組成部分,開源軟件庫大幅提升了信創(chuàng)軟件的研發(fā)效率,安全漏洞庫則為信創(chuàng)軟件提供了已知漏洞檢測的數(shù)據(jù)支撐。

　　(1)開源軟件庫:簡稱開源庫,根據(jù)相應的開源軟件許可證協(xié)議,公布軟件源代碼的網(wǎng)絡平臺。任何個人或組織均可下載并使用開源軟件的全部功能,也可以根據(jù)自己的需求修改源代碼,甚至編制成衍生產品再次發(fā)布出去,但需遵循開源許可協(xié)議,否則可能會引發(fā)知識產權糾紛。例如,2021年廣東省某科技公司便因違反GPL3.0 協(xié)議下的源代碼授權保護,被法院判為侵權并處于罰款。除了開源許可違規(guī)的潛在風險外,使用開源軟件還可能面臨安全問題,Synopsys在《2022開源安全和風險分析報告》中指出,97%的代碼倉庫包含開源軟件,其中81%的開源軟件含有漏洞。信創(chuàng)產業(yè)方興未艾,基于開源軟件開發(fā)信創(chuàng)軟件,可以大幅提升開發(fā)效率,但也不可避免的繼承了開源軟件帶來的安全漏洞。

　　(2)安全漏洞庫:簡稱漏洞庫,通過主動挖掘、社會提交、協(xié)作共享等方式,收集基礎軟件、應用軟件、網(wǎng)絡設備等軟硬件系統(tǒng)的信息安全漏洞,并建立規(guī)范的漏洞研判處置流程、通暢的信息共享通報機制以及完善的技術協(xié)作體系,為重要行業(yè)和關鍵基礎設施安全保障工作提供了重要的技術支撐和數(shù)據(jù)支持。我國的安全漏洞庫主要包括:CNVD(國家信息安全漏洞共享平臺)、CNNVD(中國國家信息安全漏洞庫)等,另外,國際上的主流安全漏洞庫還包括:CWE(通用缺陷枚舉庫)、CVE(通用漏洞披露庫)、NVD(美國國家漏洞數(shù)據(jù)庫)、CVSS(通用漏洞評估系統(tǒng))等。我國信創(chuàng)軟件的傳統(tǒng)漏洞檢測工具,均依賴上述漏洞庫提供的漏洞特征,對信創(chuàng)軟件進行已知漏洞檢測。

　　三、“兩庫”給信創(chuàng)軟件帶來的漏洞挑戰(zhàn)

　　2021年7月,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡產品安全漏洞管理規(guī)定》,規(guī)范了產品漏洞發(fā)現(xiàn)、報告、修補和發(fā)布等行為;明確了產品開發(fā)商、產品服務商、漏洞發(fā)現(xiàn)者、漏洞發(fā)布者等各類主體的責任和義務。信創(chuàng)軟件市場的高速增長,催生出大量的信創(chuàng)軟件代碼、產品、開發(fā)商與服務商。而信創(chuàng)軟件的激增,也必然引發(fā)其安全漏洞的激增。控制安全漏洞的數(shù)量、破壞性與影響范圍,保障的信創(chuàng)軟件的可信性和安全性,既是遵循法律法規(guī)的明確要求,也是整個信創(chuàng)安全體系的基礎,成為目前亟須解決的問題。

　　開源軟件庫與安全漏洞庫作為信創(chuàng)軟件的重要組成部分,在提升信創(chuàng)軟件的研發(fā)效率、提供已知漏洞檢測的數(shù)據(jù)支撐的同時,也為信創(chuàng)軟件帶來了安全漏洞的挑戰(zhàn):

　　(1)信創(chuàng)軟件開發(fā)大量依賴開源軟件,但對開源軟件的安全漏洞缺乏足夠的了解。開源軟件安全漏洞的依賴關系、影響范圍、破壞程度等信息不明確,將給信創(chuàng)軟件帶來極大的安全風險。

　　(2)受到開源社區(qū)影響以及國際關系制約,信創(chuàng)軟件的底層架構和依賴的第三方組件,可能會面臨斷供的風險,若未遵循開源許可協(xié)議,也會引發(fā)知識產權糾紛。

　　(3)面對激增的信創(chuàng)軟件代碼及產品,缺少與其匹配的安全漏洞檢測能力與手段:依靠人工檢測,檢測效率無法覆蓋代碼的增長速度。依靠漏洞庫提供的漏洞特征進行檢測,但由于信創(chuàng)軟件與通用軟件的技術架構與運行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫并不能完全適用與信創(chuàng)軟件。

　　四、面對開源軟件,加強軟件成分分析能力

　　信創(chuàng)產業(yè)方興未艾,基于開源軟件庫提供的開源軟件進行研發(fā),可以大幅提升信創(chuàng)軟件的研發(fā)效率,但這種方式不僅會繼承來自開源軟件的安全漏洞,還要遵循GPL/LGPL/BSD等相關開源許可協(xié)議,否則可能會引發(fā)斷供風險以及知識產權糾紛。

　　解決上述問題,軟件成分分析(SCA,Software Composition Analysis)是最行之有效的技術手段。軟件成分分析,是一種對二進制軟件的組成部分進行識別、分析和追蹤的技術,專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫,以識別和清點開源軟件的組件及其構成和依賴關系,并識別已知的安全漏洞或者潛在的許可證授權問題,把這些風險排查在軟件系統(tǒng)投產之前,也適用于軟件系統(tǒng)運行中的診斷分析。具體可描述為如下四部分能力:

　　(1)軟件物料清單分析能力:掃描并生成與信創(chuàng)軟件一起出現(xiàn)的開源軟件列表,包括在構建階段解析到的所有依賴項,這一輸出結果就是軟件物料清單,通常包括:軟件名稱、軟件版本、來源或分布、文件路徑等信息。

　　(2)開源許可協(xié)議風險管理能力:對開源軟件進行許可協(xié)議分析,明確其商業(yè)化限制,有助于規(guī)范的使用開源軟件,避免信創(chuàng)軟件因政治原因或違反開源協(xié)議,引發(fā)斷供風險以及知識產權糾紛。

　　(3)開源軟件已知漏洞檢測能力:基于安全漏洞庫,對軟件物料清單中的開源軟件版本,進行已知漏洞特征比對,識別該開源軟件存在的已知漏洞,并分析漏洞對信創(chuàng)軟件帶來的安全風險。

　　(4)開源軟件未知漏洞挖掘能力:基于模糊測試技術(具體詳見第五章),對軟件物料清單中的開源軟件版本,進行未知漏洞挖掘,補充安全漏洞庫所不具備的未知漏洞檢測能力。

　　五、基于模糊測試,補齊漏洞檢測能力短板

　　基于安全漏洞庫提供的已知漏洞特征,進行已知漏洞檢測,能夠部分解決信創(chuàng)軟件的安全漏洞問題。但為了有效的保障信創(chuàng)軟件的可信性和安全性,仍有如下幾個方面需要改進:

　　(1)缺少信創(chuàng)軟件專用漏洞庫:信創(chuàng)軟件是近些年的新興產物,且與通用軟件的技術架構與運行環(huán)境存在差異,CVE、NVD、CNVD、CNNVD等通用漏洞庫缺少對信創(chuàng)軟件的漏洞積累,現(xiàn)有漏洞也不能完全適用于信創(chuàng)軟件,我們需要積累專屬于信創(chuàng)軟件的漏洞庫,為信創(chuàng)軟件提供更加準確的漏洞的技術支撐和數(shù)據(jù)支持。

　　(2)降低信創(chuàng)軟件已知漏洞誤報率:基于漏洞庫提供的已知漏洞特征,可以快速識別已知漏洞,但另一方面也不可避免的造成了大量的誤報信息。我們需要優(yōu)化漏洞檢測機制,補充漏洞定位及復現(xiàn)能力,從而降低信創(chuàng)軟件漏洞誤報率,提高漏洞處置效率。

　　(3)提升信創(chuàng)軟件未知漏洞挖掘能力:通過已知漏洞特征比對,可以發(fā)現(xiàn)已知漏洞,但對未知漏洞無能為力。并且已知漏洞特征的積累,也是來源與對未知漏洞的發(fā)現(xiàn)與分析。所以對未知漏洞的挖掘才是信創(chuàng)軟件漏洞檢測的底層能力,也是我們當前最為缺失的能力,亟須提升。

　　面對上述改進需求,模糊測試(Fuzzing)是最行之有效的技術手段。模糊測試是一種軟件自動化測試技術,通過構造隨機的、非預期的畸形數(shù)據(jù)作為程序的輸入,并監(jiān)控程序執(zhí)行過程中可能產生的異常,之后將這些異常作為分析的起點,確定漏洞的可利用性。

　　1988年,巴頓·米勒教授在針對UNIX操作系統(tǒng)質量問題的測試項目中,第一次引入了模糊測試的概念。通過大量輸入完全隨機的數(shù)據(jù)進行測試,能夠引發(fā)大部分軟件出現(xiàn)崩潰問題。雖然效果顯著,但依然存在測試效率較低、漏洞產出不穩(wěn)定等問題。

　　2013年,AFL(American Fuzzy Lop)發(fā)布。這是一種基于覆蓋引導的智能模糊測試技術,通過編譯時插樁探索程序內部的執(zhí)行路徑,從而提高代碼覆蓋率,改善了傳統(tǒng)模糊測試技術效率較低、漏洞不穩(wěn)定等問題。華為、微軟、谷歌等企業(yè)開始大范圍應用模糊測試技術,并取得了極其顯著的效果。但因為技術門檻過高,模糊測試技術目前只能在各頭部大廠中得以應用。

　　2021年,北京云起無垠科技有限公司成立。創(chuàng)始團隊出身清華,多年來,在優(yōu)化模糊測試算法的同時,也大幅降低了該項技術的使用門檻。云起無垠致力于將模糊測試技術產品化,讓更多的企業(yè)可以享受到模糊測技術帶來的便利,其產品具備如下優(yōu)勢:

　　(1)海量測試用例:利用AI遺傳算法輔助測試用例智能變異,基于反饋學習機制,自動生成海量(億萬級)測試用例,對目標軟件進行安全檢測,提升軟件檢測覆蓋率。

　　(2)誤報率為零:基于內存級別的細粒度檢測能力與動態(tài)執(zhí)行驗證能力,產品檢測缺陷誤報率無限趨近于零,且對被發(fā)現(xiàn)的軟件缺陷,可定位、可復現(xiàn)、可驗證。

　　(3)發(fā)現(xiàn)未知缺陷:通過對軟件的運行態(tài)進行安全檢測,基于覆蓋率引導技術定向引導測試用例變異,觸發(fā)傳統(tǒng)檢測手段容易忽略的異常分支,從而發(fā)現(xiàn)未知缺陷。

　　(4)降低人力成本:對軟件進行自動化動態(tài)檢測,中間過程無需人工參與,大幅提升檢測效率,降低人力成本。

　　未來,云起無垠將基于模糊測試、軟件成分分析等技術,專注于軟件供應鏈安全領域,致力于解決軟件(開源、閉源)已知和未知漏洞等威脅問題。同時,不斷完善各類解決方案,為信創(chuàng)產業(yè)的發(fā)展提供安全助力,促進產業(yè)升級,向前發(fā)展。(云起無垠CTO|崔卓)