近日,云起无垠无垠代码模糊测试系统参与了中国信通院《模糊测试架构能力要求》标准评估。《模糊测试架构能力要求》为了以更标准的形式来验证模糊测试产品的安全能力,其标准规范了黑盒、灰盒模糊测试的平台能力及引擎能力,共包含了4个能力域、28个能力项、246个能力指标,提供了模糊测试平台能力建设的全方针指导。根据模糊测试平台在不同能力域的综合表现,分为基础级、增强级、先进级3个能力等级。
经过中国信通院的检验,无垠代码模糊测试系统以,分通过了《模糊测试架构能力要求》的指标检验,其灰盒平台能力域和灰盒引擎能力域,均达到了模糊测试技术分级能力评估的“先进级”要求,产品能力得到了高度认可。
图1 能力检验证书
软件是新一代信息技术的灵魂,是数字经济发展的基础,是制造强国、网络强国、数字中国建设的关键支撑。目前,我国软件和信息技术服务业产业规模效益快速增长,软件和信息技术服务业创新体系基本建立,推动新技术、新产品、新模式、新业态快速发展,促进生活方式、生产方式、社会治理加速变革。然而,随着软件总体数量的提升,软件质量事故仍不断涌现。
作为新一代的智能模糊测试领跑者,云起无垠自成立以来始终专注于模糊测试技术的研发和创新,并以此为核心,构建了一系列基于模糊测试的产品和服务,致力于在各种场景下协助企业解决安全漏洞挖掘的问题,为企业带来更完善、更安全的产品服务体验。
图2 产品服务矩阵
1.技术创新:AIGC赋能智能模糊测试
GPT大模型的高速发展,已对各行业的生产范式造成了颠覆性的影响。作为新一代智能模糊测试领跑者,云起无垠率先将AIGC模式融入产品,赋能软件开发阶段,在测试样例自动化生成与漏洞自动化修复工作中均有显著成效。
安全漏洞检测:AIGC融入智能模糊测试之后,可针对特定的输入类型、未知缺陷漏洞进一步优化测试样例的生成过程,极大提高了测试样例的质量和生成效率。而且,基于覆盖引导等技术,可以针对性地对应用程序进行定向检测,深度探索代码边界,有效检测已知与未知威胁。
安全漏洞修复:智能代码模糊测试可精准定位存在缺陷的代码片段,并对漏洞的成因进行复现。通过采用AIGC的模式,将错误代码片段等检测结果作为缺陷修复模型的输入,可自动生成修复后的代码。这种方式大幅度提高了缺陷修复效率,降低了缺陷修复的技术门槛。
总的来说,通过将模糊测试与AIGC深度融合,使云起无垠智能模糊测试解决方案在自动化程度、测试深度、测试效率、缺陷修复等维度取得了极大的能力提升,开启了智能安全检测新篇章。
2.云起无垠产品服务矩阵
无垠代码模糊测试系统
云起无垠基于智能模糊测试技术,融合GPT大模型,在变异算法、遗传算法、覆盖引导等众多技术基础之上研发设计了无垠代码模糊测试系统。无垠代码模糊测试系统可应用于开发、测试、集成等环节,针对源代码/二进制文件进行安全检测,相比传统检测工具的自动化安全检测方式,不仅可以高效地对“已知和未知”漏洞进行挖掘和检测分析,还融合了AIGC模式,可自动化地生成修复方案与修正后的安全代码片段,大幅缩减了缺陷修复时间,降低了人工修复成本。
目前,支持独立测试模式和CI/CD集成模式。
图3 独立测试模式
图4 CI/CD集成模式
相比传统安全检测工具,无垠代码模糊测试系统具有四大优势:
1)检测零误报、漏洞可复现
基于动态执行的测试方法,确保所有检出缺陷,可定位、可复现、可验证,且误报率趋近于零。
2)测试粒度更细、覆盖场景更全
基于AIGC的智能模糊测试,在样例生成阶段依托AI遗传变异算法与覆盖引导等技术,可自动生成海量(亿级)高质量测试用例,整体粒度会更细,测试点更多,判断位置也会更精准,显著提升了测试效果与覆盖率。该方案不仅可以应用于Web应用检测,还可用于协议、操作系统、数据库等测试粒度要求更高的检测场景。
3)精准检测未知漏洞
通过使用AIGC生成各种类型畸变测试数据,可以增加Fuzzing测试的多样性和复杂性,从而发现更多类型缺陷与未知0day漏洞。例如,通过生成包含特殊字符或嵌入式命令的字符串,可以测试程序对于不同输入数据的容错性和安全性。
4)大幅降低漏洞修复成本
通过将AIGC与模糊测试相结合,可以更快地生成漏洞修复建议,进一步提高漏洞修复的效率;而且,融合AIGC的模糊测试可实现漏洞自动化挖掘与修复的全流程闭环,大幅提升测试人员的工作效率,从而节省修复成本。
无垠协议模糊测试系统
无垠协议模糊测试系统是云起无垠自主研发的黑盒协议模糊测试系统,通过向目标提供非预期的输入并监视异常结果,自动化检测系统缺陷并验证协议功能,从源头助力企业实现自动化安全检测,提升协议应用的安全性与健壮性。
图5 协议模糊测试应用场景
精准、智能、无侵入的产品优势如下:
1)丰富的协议支持
覆盖近百种主流网络协议,支持创建自定义协议模型;
2)全自动安全检测
测试用例自动生成,测试策略自动优化,检出漏洞自动验证;
3)未知问题,提前防御
海量变异测试用例,支持检测已知漏洞,善于发现未知漏洞;
4)丰富的检测报告
提供准确报告,包含故障分类、修复建议、漏洞详情等关键信息;
5)消除检测误报噪音
模拟程序真实运行环境,确保所有检出缺陷可复现、0误报;
6)无侵入
采用黑盒检测方式,不侵入系统或工程代码,发现深层漏洞;
无瑕软件缺陷分析系统
无瑕软件缺陷分析系统是自主研发的源代码静态分析工具,结合深度软件分析方法和深度学习方法,能够检测到大量已有软件安全测试工具无法检测的深层安全漏洞,并有效消除大量误报。
产品优势如下:
1)检测精度“更准”
智能学习,自动排除误报,误报率仅为其他产品的1/3。
2)检测速度“更快”
采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,缩短1/3检测时间。
3)检测深度“更深”
支持上千万行代码的跨文件、跨类、跨函数的缺陷/漏洞检测。
4)检测漏洞“更多”
能够查找更多的已知/未知深度安全漏洞。
无尘软件成分分析系统
基于“左移安全”和DevSCAOps的理念打造的、全方位智能软件成分分析平台,平台同时具备源代码、组件依赖、二进制、容器镜像4大核心成分分析引擎,能够快速、准确识别软件中所使用到的第三方开源组件,然后通过关联分析技术识别软件中潜在的安全漏洞和许可证信息,综合判断相关风险,并给出相关风险修复建议,并依托SBOM台账管理能力赋能企业对内部软件资产形成全面、持续的安全运营。
平台旨在赋能企业开源安全与合规治理能力,帮助企业做到软件产品实际意义上的可知可控,护航企业网络安全。
产品优势如下:
相比传统的SCA产品,无尘软件成分分析系统可以检测多种类型目标,支持文件级漏洞同源分析,支持信创软件代码自主率分析,数据高频更新,并提供标准格式的SBOM清单生成和管理功能,有效支撑用户业务需求。
1)软件成分分析,同时支持源码、组件依赖、二进制文件、容器镜像
2)漏洞分析,支持组件漏洞关联分析,支持文件级漏洞同源分析
3)许可合规分析,同时支持组件自身风险、冲突性风险、篡改风险
4)支持代码版权合规分析
5)支持代码自主率分析
6)DevOps工具链支持
7)数据更新频率为日更新
8)软件资产管理,支持国际标准SPDX格式的SBOM清单生成与管理
智能模糊测试服务
依托服务团队十余年安全行业的经验积累,云起无垠为企业带来了创新性的智能模糊测试服务,其中涵盖物联网/IOT类安全测试服务、车载设备/车联网安全检测、服务组件类安全检测及定向漏洞挖掘服务,帮助企业构筑更完善的安全防线,提供更全面的安全解决方案。
图6 模糊测试服务
模糊测试服务优势包括如下:
1)多领域专业服务:云起无垠在网络安全、物联网/IoT、云计算、大数据和区块链等领域的专业团队为客户提供优质的技术服务。
2)丰富的专家经验:云起无垠的专家团队凭借丰富的实战经验,可快速理解并定位客户的核心需求,降低沟通成本,并为客户提供量身定制化的解决方案。
3)先进的技术手段:云起无垠的安全专家曾多次在国际,的信息安全大赛获奖,多次在全球知名公开会议上发表议题,技术水平在行业内处于,位置。
4)严格的质量控制:云起无垠安全服务建立了完善的质量控制体系,从项目启动、需求分析、开发、交付、维护等环节都有一套完整的质量控制方案,项目经理全程跟进,以确保客户的每一个项目均能按时、高质量、高标准完成。
作为一种先进的漏洞挖掘与稳定性检测手段,模糊测试技术的探索仍在继续。接下来,云起无垠将依托信通院模糊测试架构能力要求标准,继续深耕模糊测试技术,构建更完善的产品服务矩阵,并致力于软件开发安全和软件质量的提升,为客户提供符合行业标准、使用场景的解决方案,共同推动以模糊测试为代表的系统稳定性技术理念落地,填补技术理论与实践的鸿沟。
关于云起无垠
云起无垠是新一代AI赋能软件供应链安全实践者,致力于推动AI赋能信息系统安全智能化检测和缺陷自动化修复。团队汇聚了来自清华、北邮等知名高校以及华为、腾讯等头部IT企业的安全领域创新人才,拥有世界一流的自动化漏洞检测与挖掘能力,产品覆盖智能模糊测试、源代码缺陷分析、软件成分分析、智能安全知识库等方向。
云起无垠已获得数十项软件著作权和专利,已通过ISO 9001、ISO 20000、ISO 27001等认证,参与二十多项国家及行业标准制定,服务于能源、金融、通信、汽车、军工等多个行业。公司成立以来,已完成多轮数,融资。