中国软件网

您现在的位置是:网站首页>中国软件

中国软件

新兴国家战略级安全话题-软件供应链安全

中国软件网2023-02-08中国软件实时抠像软件
qq分组软件,实时抠像软件,会动壁纸软件,新兴国家战略级安全话题-软件供应链安全,qq分组软件,实时抠像软件,会动壁纸软件2022年10月Gartner发布《HypeCycleforSecurityinChina,2022

新兴国家战略级安全话题-软件供应链安全

新兴国家战略级安全话题-软件供应链安全,

  qq分组软件,实时抠像软件,会动壁纸软件2022年10月Gartner发布《Hype Cycle for Securityin China, 2022》报告,对中国安全市场技术成熟度、产品及供应商情况进行了全面的统计与分析,涉及内容涵盖云计算、大数据、人工智能、物联网和电子商务等方面。报告认为,在安全细分领域中软件供应链安全热度处于上升阶段,SCA 可以帮助应用开发团队发布更安全的代码,并为安全团队提供主动的风险管理方法。墨云科技依托对软件成分分析的技术的创新研究,被认可为国内软件成分分析(SCA)技术领域领先企业。

  当今软件开发环境中,引入开源软件避免重复工作是大幅度提高软件研发效率、缩短上市时间、降低开发成本的一种方式,然而开源软件中存在的大量缺陷,研发过程中开源组件的大量运用,随之而来的安全威胁也成为企业组织无法回避的话题,各国针对该问题纷纷出台了相应的政策。

  现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、防护能力等,整体提升软件供应链安全管理的水平。然而如何针对供应链安全开展评估和判断,未形成统一认知。市场上针对供应链安全所衍生出的产品良莠不齐,主流技术路线分为两种:

  源代码中包含丰富的程序信息,可通过hash严格匹配或文本相似度匹配方式,分析源代码文件相似度从而判断该文件属于什么组件及对应的版本;也可经过源代码词法分析Token提取语法分析AST抽象语法树语义分析过程来提取相应的数据,再通过机器学习、NLP、CFG调用图、DFG数据流图等等匹配算法进行代码相似度的检测,基于相似度检测结果得出被测软件的组成从而分析可能存在的问题。

  二进制SCA主要从二进制文件中提取不变性较高的有关常量字符串、部分类名称、函数名称、以及一些配置信息,再运用匹配算法进行相似度计算,对比数据检测出引用的开源软件名称和版本号,同时结合分析二进制代码中的CFG调用图和DFG数据流图等信息让检测变得更加精准。然而这一系列分析需要对被测二进制文件进行反汇编操作,导致分析时效性较低。

  在软件供应链攻击频发的今天,墨云科技结合前沿技术创新研究和行业应用实践沉淀,打造了针对二进制函数级别的智能软件供应链安全分析平台Scabot。在传统基于二进制文件的SCA检测技术基础之上,墨云科技Scabot在无需源代码的前提下,利用大规模反汇编引擎,获取目标软件的汇编函数,通过神经网络将汇编函数转换成向量形式,从语义层面,计算汇编函数向量和知识库中函数向量的相似度,检索定位黑盒软件中的函数及其可能存在的风险。同时利用OpenSearch高效搜索引擎,对数据库海量数据进行索引,多节点并发进行KNN高效向量搜索,保障检测质量的同时极大提升检测效率,有效解决用户测针对自开发软件及集采软件的成分分析,降低因供应链问题引发的安全风险。

  2022年10月Gartner发布《Hype Cycle for Securityin China, 2022》报告,对中国安全市场技术成熟度、产品及供应商情况进行了全面的统计与分析,涉及内容涵盖云计算、大数据、人工智能、物联网和电子商务等方面。报告认为,在安全细分领域中软件供应链安全热度处于上升阶段,SCA 可以帮助应用开发团队发布更安全的代码,并为安全团队提供主动的风险管理方法。墨云科技依托对软件成分分析的技术的创新研究,被认可为国内软件成分分析(SCA)技术领域领先企业。

  当今软件开发环境中,引入开源软件避免重复工作是大幅度提高软件研发效率、缩短上市时间、降低开发成本的一种方式,然而开源软件中存在的大量缺陷,研发过程中开源组件的大量运用,随之而来的安全威胁也成为企业组织无法回避的话题,各国针对该问题纷纷出台了相应的政策。

  现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、防护能力等,整体提升软件供应链安全管理的水平。然而如何针对供应链安全开展评估和判断,未形成统一认知。市场上针对供应链安全所衍生出的产品良莠不齐,主流技术路线分为两种:

  源代码中包含丰富的程序信息,可通过hash严格匹配或文本相似度匹配方式,分析源代码文件相似度从而判断该文件属于什么组件及对应的版本;也可经过源代码词法分析Token提取语法分析AST抽象语法树语义分析过程来提取相应的数据,再通过机器学习、NLP、CFG调用图、DFG数据流图等等匹配算法进行代码相似度的检测,基于相似度检测结果得出被测软件的组成从而分析可能存在的问题。

  二进制SCA主要从二进制文件中提取不变性较高的有关常量字符串、部分类名称、函数名称、以及一些配置信息,再运用匹配算法进行相似度计算,对比数据检测出引用的开源软件名称和版本号,同时结合分析二进制代码中的CFG调用图和DFG数据流图等信息让检测变得更加精准。然而这一系列分析需要对被测二进制文件进行反汇编操作,导致分析时效性较低。

  在软件供应链攻击频发的今天,墨云科技结合前沿技术创新研究和行业应用实践沉淀,打造了针对二进制函数级别的智能软件供应链安全分析平台Scabot。在传统基于二进制文件的SCA检测技术基础之上,墨云科技Scabot在无需源代码的前提下,利用大规模反汇编引擎,获取目标软件的汇编函数,通过神经网络将汇编函数转换成向量形式,从语义层面,计算汇编函数向量和知识库中函数向量的相似度,检索定位黑盒软件中的函数及其可能存在的风险。同时利用OpenSearch高效搜索引擎,对数据库海量数据进行索引,多节点并发进行KNN高效向量搜索,保障检测质量的同时极大提升检测效率,有效解决用户测针对自开发软件及集采软件的成分分析,降低因供应链问题引发的安全风险。

很赞哦!