2024年9月8日,由中央网信办指导,中国网络安全产业联盟(CCIA)、教育部高等学校网络空间安全专业教学指导委员会、广州市委网信办主办的2024年中国网络安全创新创业大赛总决赛及颁奖典礼在国家网络安全宣传周主会场广州落下帷幕。在本次大赛的网络安全创新产品赛道中,默安科技的“雳鉴-软件供应链风险评估平台”经过重重筛选,最终斩获全国三等奖。
(左七为默安科技代表)
为了贯彻落实习近平总书记对国家网络安全宣传周作出的关于国家网络安全工作“四个坚持”的重要指示精神,“2024年中国网络安全创新创业大赛”作为2024年国家网络安全宣传周的重要活动之一,首次整合2024年网络安全优秀创新成果大赛、第十七届全国大学生信息安全竞赛两大赛事。网络安全优秀创新成果大赛是一项由中国网络安全产业联盟(CCIA)主办的网络安全行业重要赛事,已连续成功举办多年,旨在选拔和表彰网络安全产业中的创新成果,提升网络安全产品和服务的供给能力和质量,推动产业的自主创新和高质量发展。大赛由中央网信办网络安全协调局指导,并得到多个地方政府和机构的支持。
在早前的分站赛阶段中,默安科技申报的 “基于AI的软件供应链安全解决方案” 凭借先进的技术创新与落地能力,揽获杭州分赛站——网络安全解决方案优胜奖、浙江省十强。
雳鉴-软件供应链风险评估平台(SSCRA)是由默安科技自主研发且面向软件供应链风险面的一体化检测评估平台。专注于解决软件供应链全链核心风险问题,在透明化软件供应链安全风险的同时,从供应链引入、生成、应用三个环节切入,梳理软件物料清单、构建供应商风险画像、沉淀企业软件供应链风险安全知识库。让软件供应链风险评估工作的决策有理可循,有据可依。
其核心优势如下:
实现软件风险的可追溯性:在保证软件机密性、完整性、可用性的基础上,保障软件供应链信息具有一定的透明度,一旦软件供应链出现问题,能够及时准确实现问题定位和追溯,识别相关方实体,包括供应商、软件、组件乃至代码等。
实现软件成分的可审计性:保障软件供应链各环节中所处理信息的完整性、准确性和可靠性,缓解由于软件漏洞、后门、合规性等问题带来的软件供应链安全风险。
实现核心代码泄露风险的可控性:检查机制在传统的代码审计基础上增加了动态分析的能力,能够支持在软件运行状态下检查软件存在的真实风险,从而避免因代码审计造成的核心代码泄露风险。
AI赋能的供应链风险检测引擎:利用自研的AI引擎,大大扩展了软件供应链风险检测对象。对于源代码、制品包、二进制、镜像包、测试环境等各类检测对象均能够实现深度的成分依赖分析和风险检测。
默安科技基于AI的软件供应链安全解决方案,依托多年的研发安全技术沉淀,将AI大模型引入软件供应链安全监测与评估体系建设,从源头管控软件系统风险,提升供应链的透明度和风险可追溯性,为监管机构、软件运营者、软件供应方提供软件供应链安全技术抓手。
方案结合了SAST工具、软件供应链检测系统与LLM,通过多层次结构优化漏洞检测和修复流程。方案融合SAST与SCA检测工具实现对潜在安全漏洞的快速定位,并由大模型进行二次验证,以此降低误报率。其中,基于AI大模型的SAST工具采用先进的污点分析技术和大模型集成,可有效提高漏洞检测的准确性,将误报率降低到20%以下。同时,通过大模型生成自动修复建议,能够显著提升开发人员的修复效率,修复成功率超过80%。
在满足法律与合规要求的基础上,通过该方案极大地降低供应链安全问题爆发的可能性和负面影响,降低供应链中组件漏洞的安全风险,完成由被动响应到主动治理的转变,实现供应链安全管理效能的整体提升,以适应不断迭代的业务需求。
作为国内首批开辟开发安全业务的安全厂商之一,默安科技拥有业内领先的完整DevSecOps方案,形成具备强大竞争力的产品矩阵。近几年,公司持续在开发安全和软件供应链安全领域深耕,依托领先的技术优势、不断精进和完善产品能力和丰富的落地实践经验,已服务超过15个行业千余家政企客户,帮助客户从源头治理安全问题,高效应对在软件供应链各个环节中的安全风险。公司的产品和解决方案也也频频收获业界诸多认可。此次再获殊荣,不仅是对默安科技技术实力的认可,也是对其在软件供应链安全领域持续创新和深耕的肯定。未来,默安科技将继续致力于技术创新和行业应用落地,为提升各行业开发安全与软件供应链安全治理水平贡献力量,助力构建更安全的网络环境。