淺談基于程序分析技術(shù)的軟件漏洞治理

一 軟件漏洞問題日趨嚴(yán)重

隨著數(shù)字化轉(zhuǎn)型進(jìn)程加速，軟件系統(tǒng)與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)的連接更加普遍與密切，企業(yè)各類信息化系統(tǒng)、軟件以及第三方組件之間的依賴關(guān)系越來越大，軟件系統(tǒng)上線周期越來越頻繁。軟件資產(chǎn)擴(kuò)大的同時，由于配置不合規(guī)、各類漏洞、弱口令等問題存在，使得軟件系統(tǒng)隱藏的缺陷與漏洞越來越多，受攻擊面不斷擴(kuò)大。

從美國Colonial Pipeline輸油管道攻擊到肉類加工公司JBS遭受破壞，從API漏洞到云安全。未知漏洞攻擊增加，勒索軟件變種升級，關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為重點。網(wǎng)絡(luò)環(huán)境逐漸復(fù)雜化，惡意軟件呈現(xiàn)多樣化，“大型漏洞”聽起來似乎離我們很遙遠(yuǎn)，但它們正成為現(xiàn)代網(wǎng)絡(luò)危機的一個常見特征。

根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱“CNCERT”)《2021年上半年我國互聯(lián)網(wǎng)安全監(jiān)測數(shù)據(jù)分析報告》數(shù)據(jù)顯示，國家信息安全漏洞共享平臺(CNVD)收錄安全漏洞數(shù)量同比增長18.2%，共計13083個，0Day漏洞收錄數(shù)量為7,107個(占54.3%)，同比大幅增長55.1%。

軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)防線，美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)、國家漏洞數(shù)據(jù)庫(NVD))數(shù)據(jù)顯示：90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致的。加強漏洞治理來提高軟件自身“免疫力”可以有效防治針對漏洞利用的網(wǎng)絡(luò)攻擊。

二 漏洞治理的趨勢

觀點1： 軟件漏洞的治理的目標(biāo)是100%的漏洞問題得到解決。任何一種工具方法都無法100%解決漏洞問題。

近年來漏洞治理的趨勢包括：

1-更多工具方法的綜合應(yīng)用。其中主流的漏洞治理方法有以下兩大類型

2- 在軟件從開發(fā)到運行的完整軟件生命周期中持續(xù)漏洞治理工作。

在軟件開發(fā)階段發(fā)現(xiàn)和修復(fù)漏洞的成本最低，更早的預(yù)防能減少軟件上線后的風(fēng)險。

網(wǎng)絡(luò)攻擊手段不斷進(jìn)化，需要最大程度上預(yù)防和修復(fù)漏洞。不但需要對已知漏洞打上補丁，更重要的是在開發(fā)階段對代碼缺陷可能造成的未知漏洞提前修復(fù)。

本文主要關(guān)注程序分析技術(shù)在漏洞治理中的應(yīng)用。

三 基于程序分析技術(shù)的軟件漏洞治理方法

程序分析技術(shù)在漏洞治理方面有著廣泛多樣的應(yīng)用形態(tài)，各形態(tài)統(tǒng)一的特點都是以對程序代碼信息的分析為基礎(chǔ)。

具體基于程序分析的程序安全分析的方法分為靜態(tài)和動態(tài)兩大類型。

從表格中可以直觀感受到靜態(tài)分析方法和動態(tài)分析方法各有千秋。真正能夠各取所長，互補所短的動靜態(tài)結(jié)合分析方法是領(lǐng)域前進(jìn)的方向。

四 通過動靜態(tài)聚合分析形成漏洞治理體系

觀點2 讓靜態(tài)分析和動態(tài)分析各有優(yōu)缺點，發(fā)揮互補優(yōu)勢的動靜態(tài)聚合的綜合分析方法。

方法1： 通過靜態(tài)分析得到的程序信息 可以有效的減少動態(tài)分析的探針數(shù)量。

方法2：動態(tài)分析提供的程序運行時信息，可以讓靜態(tài)分析不需要考慮程序所有的可能情況，大大提升靜態(tài)分析速度和準(zhǔn)確性。

觀點3：有效動靜態(tài)聚合漏洞處理體系應(yīng)該在各工具之間打通，做到數(shù)據(jù)互通，算法互聯(lián)，界面統(tǒng)一。

五 總結(jié)

1- 程序分析技術(shù)將漏洞管理工作拓展到軟件開發(fā)階段，實現(xiàn)了安全左移的效果，使得網(wǎng)絡(luò)安全體系更系統(tǒng)更完善。

2- 程序分析技術(shù)分為動態(tài)分析和靜態(tài)分析兩個方向，未來兩個方向?qū)⒆呦蚓酆希瑓f(xié)同工作。也必將會逐步與其他網(wǎng)絡(luò)安全技術(shù)走向融合協(xié)作。

六 中科天齊 漏洞治理專家

由中科院研究員李煉博士創(chuàng)立，以自主研究成果WuKong 靜態(tài)軟件安全測試工具為主打產(chǎn)品，團(tuán)隊?wèi){借多年在程序分析領(lǐng)域的技術(shù)積累，致力打造安全漏洞治理領(lǐng)域新生態(tài)的高新技術(shù)企業(yè)。

在技術(shù)實力上，通過最新研究的深度軟件分析方法及深度學(xué)習(xí)方法，精準(zhǔn)提高軟件原生安全。融合開源漏洞管理及邏輯漏洞分析，多維度自主創(chuàng)新研發(fā)產(chǎn)品協(xié)同實現(xiàn)漏洞治理鏈路閉環(huán)，為用戶提供可定制化的軟件安全漏洞解決方案。目前，中科天齊在國內(nèi)構(gòu)建完成集科研、產(chǎn)業(yè)、教育、投資”四位一體“的軟件安全產(chǎn)業(yè)體系，深入服務(wù)互聯(lián)網(wǎng)、軟件開發(fā)、智慧城市、金融科技等諸多重要領(lǐng)域。