科创中国

行业领域

高技术服务业

需求背景

由于软件设计缺陷和软件开发过程中产生的漏洞将沿着软件供应链的树状结构由上游向下游扩散，加大了软件供应链的安全风险，当前大型企业数字化水平迅速提高，提供的数字化服务融合各种开源闭源软件，这就对软件的业务逻辑和安全质量控制及标准提出了更高的要求。本项目针对软件代码模糊测试智能化程度不高、软件成分自动分析覆盖面不广、软件代码自动化安全评估能力缺乏的问题，研究面向软件供应链安全的软件代码安全检测技术，以上下游产业安全。

需解决的主要技术难题

一是研究软件代码智能模糊测试技术，实现软件代码的智能漏洞挖掘、测试用例自动生成、缺陷协助修复、覆盖率计算等功能。二是研究源代码软件成分分析技术，实现软件成分识别、安全风险检测、项目许可证检测、软件出口合规分析等功能。三是研究源代码多维度评估技术，实现代码来源、代码质量、代码知识产权可控、代码成熟度等多特征联合建模。四是研究软件代码漏洞挖掘技术，采用基于神经网络的漏洞挖掘和符号执行的缺陷识别等技术，实现供应链上游代码漏洞挖掘。交付一套软件供应链安全的软件代码安全检测系统，达到源代码安全检测、语义缺陷检测、安全漏洞扫描、编码规则审计、代码度量等效果。

期望实现的主要技术目标

代码测试支持C、C++、JAVA、PHP、JS、HTML、Python等不少于10种检测语言；

2. 支持SQL注入、跨站脚本攻击、密码权限、非法计算、线程锁死、0Day漏洞等不少于10种安全漏洞检测；

3. 支持GJB-5369规则集、GJB-8114规则集、ISO-17961规则集、CERT规则集（JAVA）、MISRA-2004规则集等不少于编码规则；

4. 支持200万行/h代码安全检测；

5. 软件代码安全检测误报率小于15%。

处理进度