奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

代码卫士 2022-11-01

收录于合集 #开源 302个

5月26日，2022数博会领先科技成果奖获奖名单正式公布。“奇安信开源软件供应链安全检测关键技术与产业化应用”荣获2022领先科技成果奖“新技术”奖。

获奖奖状

开源软件供应链引入的代码安全问题，引发了一系列逐年递增且日趋严重的针对软件供应链的攻击事件。针对这一安全隐患，奇安信突破开源软件供应链安全检测关键技术，并形成产品，实现对基础软件供应链源代码、二进制组件等安全检测及漏洞定位分析能力，提升国产化基础软件安全水平。

作为国内外少有的专门针对开源软件供应链安全的研究和产业化项目，“奇安信开源软件供应链安全检测关键技术与产业化应用”基于自主技术研发智能化软件数据收集与分析引擎，具备多源数据海量信息环境下开源软件信息收集、覆盖全部软件形态的精确成分识别、漏洞库联动检测深度关联分析等能力，提供开源软件资产识别、漏洞风险分析、协议风险分析、运维风险分析和漏洞情报预警等功能，助力用户及时掌握软件资产信息，降低开源软件及其组件带来的软件供应链风险。

据介绍，该项目有三大创新点，

•其一是基于定向爬虫和预处理动态反馈的代码基准库自动化构建方法，整条技术路线实现了高度自动化、高度精确的开源软件数据收集，并将人工的参与度降到最低，避免了人工介入产生的错误；•其二是基于项目和代码结构及语义的多级别特征提取技术，保证比对分析的高效快速；•其三是采用基于多级特征值的高效代码识别匹配技术，提高相似性判定的效率与准确度。

在北京冬奥会和冬残奥会期间，该项目成果也应用于软件供应链安全预警工具的升级工作。针对冬奥网络安全环境中软件来源复杂、安全窗口短暂的需求，通过模块化能力扩展，将开源软件识别数量从800万提高至3000万，可识别的开源代码模块数量从2万提高到超过8万，漏洞库中包含的漏洞数量从3万提升到12万，明显增强了对冬奥赛事系统软件供应链的安全预警能力。

目前，“奇安信开源软件供应链安全检测关键技术与产业化应用”已经在政府、银行、证券、保险、运营商、能源、交通等行业的300多家机构中落地，累计为客户检测30多万个项目，100多亿行代码，发现了2000多万个安全隐患，有效助力企业构建自身代码安全保障体系，历经实战检验具备良好的应用推广价值。

开源卫士试用地址：https://oss.qianxin.com

在本届数博会“数博发布”环节，奇安信集团安全专家发布了奇安信集团落地贵阳，通过贵州数安奇天网络安全服务有限公司负责运营的态势感知与安全服务平台。

平台从智慧城市、安全运营角度出发，提供“1+1+N”的整体解决方案，通过网络安全运营中心技术人员的安全运营服务，以服务的形势把安全能力赋予最终用户。平台目前已在贵阳市经开区国家大数据靶场本地落地建成，并投入运行中。

此外，“奇安信冬奥网络安全应急响应95015公共服务平台”、“奇安信态势感知与安全运营平台”在本次评选中分别获得“商业模式奖”和“优秀成果奖”。

奇安信2022数博会精彩回顾

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击