近日，云起無垠憑借其在漏洞挖掘、漏洞檢測以及漏洞修復(fù)等領(lǐng)域的卓越表現(xiàn)，榮獲“國家信息安全漏洞庫（CNNVD）技術(shù)支撐單位等級證書（三級）”，正式成為CNNVD技術(shù)支撐單位。

中國國家信息安全漏洞庫（英文簡稱：CNNVD）是中國信息安全測評中心為切實履行漏洞分析和風(fēng)險評估的職能，負責(zé)建設(shè)運維的國家信息安全漏洞庫，為我國信息安全保障提供基礎(chǔ)服務(wù)。CNNVD為我國重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持，對提升全行業(yè)信息安全分析預(yù)警能力，提高我國網(wǎng)絡(luò)和信息安全保障工作發(fā)揮了重要作用。

成為CNNVD技術(shù)支撐單位，是中國國家信息安全漏洞庫對云起無垠在漏洞分析和風(fēng)險評估等方面技術(shù)實力的極大認可。云起無垠作為新一代AI賦能軟件供應(yīng)鏈安全實踐者，成立以來，一直專注于智能模糊測試、程序分析、AIGC等技術(shù)的研究與創(chuàng)新，并推出了三款領(lǐng)先產(chǎn)品：無垠智能模糊測試系統(tǒng)（Fuzzing）、無瑕源代碼缺陷分析系統(tǒng)（SAST）以及無塵軟件成分分析系統(tǒng)（SCA）。這些系統(tǒng)為企業(yè)提供了卓越的漏洞分析和評估能力，幫助企業(yè)在軟件研發(fā)、測試的早期階段進行安全漏洞檢測和分析，讓業(yè)務(wù)系統(tǒng)安全上線。其中，云起無垠的技術(shù)在漏洞分析和漏洞評估中的應(yīng)用如下。

• 在漏洞分析中，靜態(tài)應(yīng)用程序安全測試工具（SAST）通過分析源代碼、字節(jié)碼或二進制代碼，專注于檢查應(yīng)用程序在設(shè)計和實現(xiàn)層面上的安全問題。與實際運行應(yīng)用程序不同，SAST關(guān)注代碼本身的結(jié)構(gòu)、邏輯和數(shù)據(jù)流。另一方面，軟件成分分析工具（SCA）通過掃描應(yīng)用程序的依賴項，檢查第三方組件和開源庫是否存在已知漏洞。通過將掃描結(jié)果與漏洞數(shù)據(jù)庫進行比較，SCA能夠標(biāo)識出已知的安全問題，提供對應(yīng)用程序整體安全性的評估。為了進一步提高漏洞發(fā)現(xiàn)的全面性，模糊測試被引入到漏洞分析中?；赟AST和SCA的分析和檢查結(jié)果，模糊測試生成模糊測試用例，重點覆蓋關(guān)鍵代碼路徑和輸入驗證邏輯。這些測試用例被注入到應(yīng)用程序中，通過監(jiān)視應(yīng)用程序的響應(yīng)，能夠發(fā)現(xiàn)可能存在的動態(tài)漏洞。在漏洞驗證和修復(fù)建議階段，模糊測試發(fā)揮著關(guān)鍵作用。通過驗證SAST和SCA標(biāo)識出的漏洞的真實性和可利用性，模糊測試幫助確認這些漏洞是否能夠在實際運行中被成功利用。對于驗證通過的漏洞，生成的修復(fù)建議被整合到漏洞報告中，可以幫助開發(fā)人員進行針對性的漏洞修復(fù)。這種融合方法充分發(fā)揮了靜態(tài)和動態(tài)分析的優(yōu)勢，為漏洞分析提供了多層次的保障，從而全面提升應(yīng)用程序的安全性。

• 在漏洞評估中，模糊測試通過模擬真實的攻擊場景和不斷演變的威脅，為漏洞評估提供了一種強大而全面的方法。它能夠發(fā)現(xiàn)未知漏洞、拓展攻擊面、強調(diào)邊界條件，同時通過動態(tài)分析驗證漏洞的真實性，從而為應(yīng)用程序的安全性提供更全面的保障。

截至目前，云起無垠已經(jīng)為軍隊/軍工、能源、政企、檢驗檢測機構(gòu)、智能車企等眾多行業(yè)客戶提供產(chǎn)品和服務(wù)，成功幫助客戶解決了應(yīng)用系統(tǒng)中存在的安全漏洞問題。

未來，云起無垠將持續(xù)深耕漏洞挖掘與修復(fù)領(lǐng)域，構(gòu)建更完善的漏洞分析和評估能力，以應(yīng)對不斷演變的網(wǎng)絡(luò)安全挑戰(zhàn)；同時幫助企業(yè)解決業(yè)務(wù)系統(tǒng)上線前的安全漏洞，努力為企業(yè)提供全方位的安全保障，為我國家關(guān)鍵基礎(chǔ)設(shè)施筑牢網(wǎng)絡(luò)安全屏障。