超大规模代码安全检测关系到国家网络空间安全。目前,华为、阿里、腾讯等大型企业,软件代码量有上亿行,且应用范围广,对该类超大规模代码安全的自动检测非常关键。此外,国外系统级软件,在国内进行发布时也要经过我国审计部门的代码审查。该类软件代码量同样可至数亿行,对其进行审查十分困难,例如Windows操作系统源码上亿行,虽然代码提供给了我国审计部门,但难以从中检测到漏洞和后门。要实现对这些超大规模代码的自动化安全检测,需要解决高精度的超大规模代码建模问题,具体涉及超大规模代码的符号执行技术、可扩展的代码依赖分析技术和增量分析等关键基础技术,帮助实现上亿行代码的安全检测。
目前,我国常见的漏洞检测工具只能做到几百万行乃至上千万行的检测,随着代码量的增大,复杂度迅速升高,使得现有的检测算法无法满足对超大规模代码自动检测的要求。目前,我国在超大规模代码检测方面依赖于美国Coverity工具,该工具基于符号执行和增量分析技术,能够完成数亿乃至数十亿代码的检测,在华为、阿里、腾讯等大型软件企业得到广泛应用。
今后,一旦Coverity对我国实施禁运,系统级代码的漏洞检测将面临“卡脖子”问题。例如,华为等公司代码量上亿行,将无法被代码自动检测工具检测,存在的漏洞可能被遗漏,有被国外Coverity工具发现及利用的可能。又如,Windows代码量超过亿行,我国工具均不能对Windows代码进行有效的漏洞及后门检测。系统级漏洞与后门将对上层应用软件安全乃至整个系统的安全带来风险,威胁我国的网络空间安全。
一旦该工具被封锁,国际上没有其它直接可替代的产品。因此亟需加强对超大规模代码安全自动检测工具研发的投入。而【悟空】代码检测工具以中科院计算所国际领先的自主研究成果“软件源代码漏洞检测安全智能诊断工具”为基础,支持超大规模代码检测、支持增量代码检测、漏洞精度与Coverity相当,可以在数亿乃至数十亿代码上进行有效的漏洞及后门检测,实现我国对超大规模代码的自动检测能力,保障网络空间安全。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
