原标题:软件供应链安全丨安全玻璃盒开源软件安全分析系统SCA新版本发布

打开网易新闻 查看精彩图片

随着国产信创软件环境下开源安全风险与日俱增,严重阻碍信创软件的发展、信创产业的探索、信创技术迈进和国家信息安全,面向信创领域的开源安全存在重大攻坚难点。为解决信创领域开源安全难题,安全玻璃盒通过深度的技术打磨,重磅发布基于AI模型的二进制函数级SCA产品——安全玻璃盒开源软件安全分析系统SCA。

针对信创软件环境下源码分析困难、开源成分不清、漏洞危害难以溯源、法律侵权风险难以鉴别等核心问题,安全玻璃盒开源软件安全分析系统SCA基于AI语言模型,通过自研的二进制函数级关键分析技术,实现在无源码情况下信创软件的安全性检测与评估,为信创软件供应链“明安全之道”。

领先自研硬实力

“明”信创软件供应链“安全之道”

•深入且精准的最强大脑:自研AI启发式二进制识别解包

传统通过识别文件后缀与文件头部字节的识别方式已无法识别出复杂多样化的二进制文件,无法正确识别就无法对二进制文件进行深度分析。安全玻璃盒自研的基于多层感知机深度学习的AI启发式二进制识别与解包模型可以解决这个问题,通过对大量不同格式的文件特征训练,广泛学习,可以深入了解、精准解析各个应用场景下的二进制文件,该技术突破了以往二进制文件分析方式。

•高准确率、高检出率:自研二进制精细化多维度分析算法

二进制精细化多维度分析算法通过函数向量匹配、函数调用关系匹配、组件版本号匹配等多维度分析匹配,能够保证检测结果的准确性,大幅提升二进制软件成分分析的可靠性,即使在面对字符串加密或缺失、符号擦除、不同平台导致哈希特征失效时,也能够有效保证检测的高准确率和高检出率。

•布局信创 全面兼容:自研AI函数级二进制检测

通过构建基于多层卷积神经网络架构的深度学习AI模型,用于分析从二进制内提取的各种特征,并确保模型在各种平台上的广泛应用,进行全面的兼容适配,包括多种操作系统、处理器架构和编译器,从而满足在信创环境下的各种国产与非国产的通用机、大型机和小型机平台上进行精确的二进制函数级分析。

为安全治理管控提供顶层支持能力

那么,安全玻璃盒开源软件安全分析系统SCA,都有哪些丝滑技巧呢?

除了在技术层面突破传统二进制检测能力,我们还站在安全治理管控视角,拓宽了产品核心使用与能力维度。

•一键二进制检测,轻松获取成分信息

安全玻璃盒开源软件安全分析系统SCA采用一键式二进制检测,“上传-解包-检测”一气呵成。无需担心二进制文件格式是否支持、封装格式能否解析、跨平台能否兼容。

打开网易新闻 查看精彩图片

一键创建检测任务

•五维检测引擎,更为精准的分析算法

安全玻璃盒安全研究团队通过自研二进制函数级检测引擎,融合多种匹配算法,形成一套具备高覆盖与低误报优势的业内领先的算法模型。提供开源软件风险溯源路径和五维相似度检测依据,便于安全管理者对结果进行校验审计。

打开网易新闻 查看精彩图片

开源组件综合匹配详情

•支持人工结果审计,助力安全管控治理

为进一步满足用户的安全检测需求,产品支持自定义调整算法检测模型、定制算法模型置信度,用户可对文件级、应用级进行开源软件相似结果审计,助力安全人员快速介入检测、精确掌握结果数据、全流程闭环管控。

打开网易新闻 查看精彩图片

实践场景 能力切入

•信创软件开源漏洞风险检测

产品已建立面向信创领域的软件基因数据库,兼容多种标准漏洞库,并收录多源在野漏洞信息、漏洞利用案例等关键数据。在识别开源成分的同时,匹配开源漏洞数据,并能够提供详尽的漏洞风险溯源路径、关联攻击模式、漏洞修复方案等。

•信创软件知识产权风险检测

针对信创产业时常面临的开源软件知识产权风险,产品通过收录3000+开源许可证、商业许可证,在识别开源成分的同时,匹配开源许可数据,提供详细的许可条款解析。评估在不同项目属性中,开源许可呈现的风险级别与兼容风险。

打开网易新闻 查看精彩图片

•信创软件供应链断供风险评估

由于开源生态基础设施受限于地缘政治管控和软件属地出口管制政策约束,一旦发生国际供应链制裁,信创软件的底层架构和第三方依赖将面临着断供风险。产品通过持续监控采集开源软件关键基础信息,形成开源软件关键特征库,基于行业评估标准、产业评估要求等形成多套开源软件评估模型,形成完备的开源软件监控体系与风险态势感知。为信创产业平稳发展,提高信创企业软件供应链健康度。

信创领域的开源软件供应链安全不仅关系着我国信创产业的整体发展,更关乎我国关键基础设施和国家信息安全。安全玻璃盒致力于保障信创软件环境下的开源软件供应链安全和可持续性,着力提升信创产业核心技术水平和支撑保障能力,助力国产信创产业与数字化中国构建安全底座。

关于安全玻璃盒:

安全玻璃盒【杭州孝道科技有限公司】是一家专注于为用户提供软件供应链安全产品和解决方案的国家高新技术企业、省级专精特新企业。公司已拥有三十余项技术发明专利和七十余项自主软件著作权,通过基于AI模型和卷积神经网络,自主研发了全链路智能动态污点分析、函数级智能基因检测与自动化验证等核心技术与产品,为用户提供DevSecOps安全开发解决方案、软件供应链安全一体化解决方案、上线即安全与免疫防御解决方案、基于SBOM开源软件供应链安全情报与治理、软件供应链安全安全检查评估工具等。目前已覆盖各大关键基础设施行业的TOP级用户,同时也服务了亚运会软件供应链安全检查、关键基础设施用户软件供应链安全专项检查等技术支撑工作。