11月28日，由清华大学网络科学与网络空间研究院联合奇安信集团、蚂蚁集团、广东联通、百度安全、赛尔网络、北京航空航天大学国家卓越工程师学院共同主办的DataCon2024大数据安全分析竞赛圆满落幕，五大赛道冠军均已揭晓。其中，“软件供应链安全”议题聚焦考察参赛者对恶意代码、恶意软件包的识别和检测水平。最终来自中国科学院软件研究所的“SecureNexusLab供应链安全”战队脱颖而出，荣获该赛道冠军。

软件安全是历届DataCon大数据安全分析竞赛的重点关注议题，从2021年至2023年，大赛不仅持续聚焦软件供应链安全，还逐步扩展到物联网安全、恶意软件自动化分析等领域。软件供应链安全已成为当今软件行业面临的一项重大挑战。随着软件开发过程中对开源组件依赖性的不断增加，这为攻击者提供了新的入侵途径。攻击者可以通过向开源项目注入恶意代码或篡改现有组件的方式，对软件供应链实施攻击。这种攻击往往隐蔽性强、波及范围广,已经成为高级持续性威胁(APT)的重要手段之一。

本次赛题要求选手从NPM软件包、PyPI软件包中精准检测出包含恶意行为的软件包。“要准确检测出这些恶意的开源组件并不容易,需要综合运用多种技术手段，如静态分析、动态分析，以及当前较为热门的大模型。这就要求选手有一个较为广泛的技术能力，并且可以处理大量的数据。其核心难点在于如何平衡检测中的误报率和漏报率。”大赛评审委员会专家讲解赛题难点时指出。

过高的误报率会导致大量安全告警无法被及时有效处理，而高漏报率则可能使真正的高危威胁被忽视。“我们面临的主要挑战是在缺乏先验知识的情况下难以准确地开展恶意软件包检测”SecureNexusLab战队成员表示，“此外，在初步筛选后的样本数据集中，存在明显的漏报与误报问题。”

为应对这些难题，该团队开发了一种基于聚类分析的自研检测技术，并结合其他静态分析方法，以便在没有预设信息的前提下快速完成初步筛查。他们构建了一个迭代优化框架：首先使用大型模型对潜在恶意代码进行评分和定位，以有效降低误报率；然后，根据大模型识别出的新规则重新扫描整个数据集，进一步减少漏报情况的发生。该方案在降低误报率、提高查全率等方面取得了显著突破。

竞赛所探索出的高效、精准的恶意代码检测方法，不仅能够提升开源社区软件供应链的安全治理水平，还可以被整合到企业的开发工具链中，为一线开发者提供更加可靠的安全保障，增强整个软件行业的安全基础设施。DataCon竞赛研究成果已被广泛应用于实际场景，成功识别并防御了多起潜在的安全威胁，展现了极高的实用价值。

“在2022年的软件安全赛道中，PowerShell反混淆的赛题吸引了428支队伍参赛。由东南大学和复旦大学组成的dddd联队，他们工具的反混淆效果远超其他参赛者，而且解题思路极其新颖。”评审委员会专家回忆称。

赛后，奇安信技术研究院星图实验室与该战队的两位成员进行了深入合作。经过近两年的持续交流与协作，双方成功将DataCon竞赛期间开发的原型工具，拓展成为效果远超现有解决方案的动态反混淆工具——PowerPeeler。目前该工具已在天穹沙箱中得到广泛应用。

此外，这项研究成果还形成了一篇高质量的学术论文，并被国际网络安全领域的顶级会议CCS 2024接受，展现出世界领先的研究水平。

奇安信技术研究院成员在美国盐城湖市CCS 2024会场，介绍Powershell反混淆工作

Gartner预测，到2025年全球45%的企业机构将遭遇软件供应链的攻击。供应链安全公司ReversingLabs在2024年报告《软件供应链安全状况》中指出“过去三年中，源自开源软件包存储库的威胁增加了1,300%以上。”

软件供应链风险存在于应用系统的全生命周期，包括设计、生产、交付、部署、使用及运营、停止等阶段。奇安信认为，需要用系统工程方法体系化、全局性治理，来确保各个阶段的安全性和可靠性。企业的软件供应链安全的技术能力建设离不开四项关键能力，即开发安全能力、开源安全能力、安全部署运行能力、自动化渗透测试能力。

同时，奇安信构建了一套全面的软件供应链安全治理框架，帮助用户建立以软件供应链安全检测为核心，集软件供应链安全咨询、软件供应链应急响应处置、软件供应链安全教育与培训为一体的安全体系，整体提升软件供应链安全技术防护和管理水平。

早在2021年，为了进一步强化全国范围内的软件供应链安全保障，深入源代码安全技术研究、产品研发和市场服务，奇安信与重庆市璧山区政府联合承建了“软件供应链安全检测中心”，成为全国首个软件供应链安全专业检测机构，已经在全国20余家合资公司设立检测机构分中心。

感谢合作伙伴的助力 让我们走得更高更远