近日,由中国信息通信研究院和中国通信标准化协会联合主办的“2023系统稳定性与精益软件工程大会”在北京圆满闭幕。在这次大会上,云起无垠凭借其卓越的技术实力和优秀的产品解决方案,荣获了“第二届软件质效领航者优秀案例奖”。
随着数字经济的飞速发展和现代化技术的不断进步,企业上云的步伐正在加快。企业期望通过上云来提升资源利用率、增强业务弹性水平,并通过云上软件开发部署实现更加灵活和高效的商业运营。为了满足这一需求,信通院牵头举办了本届软件工程大会。
本届大会聚焦于云服务和大型互联网平台的稳定安全运行、云上精益软件工程以及汽车云等领域。会上发布了多项重磅成果,并设立了多个分论坛,邀请了政府领导、学界专家和企业代表等百余位嘉宾共同探讨数字化浪潮中如何实现“稳中求进、精益求精”。
为了促进新一代软件工程技术的创新发展,交流业内先进经验,推广软件质效优秀实践,提升国内软件质效应用平台的建设水平,中国信息通信研究院开展了“软件质效领航者”优秀案例评选活动。经过3个月的层层筛选和评比,最终确定了获奖企业。其中,云起无垠的某航天研究院操作系统模糊测试应用实践案例凭借其技术先进性和解决方案的创新性,成功入选“第二届软件质效领航者优秀案例奖”。
本案例中,云起无垠成功地将智能模糊测试技术应用于天脉系列嵌入式实时操作系统场景,通过高度自动化的深度检测,快速发现了系统崩溃的内存问题,显著提升了系统的安全可靠性。云起无垠的产品解决方案在多个方面进行了创新:一方面它通过运用先进的插桩监测技术,对复杂的测试对象进行实时监控,从而精准地识别和定位其中的安全漏洞。这一技术结合定制化的函数调用模板以及智能的数据变异方法,有效挖掘出运行环境中的深层安全缺陷。另一方面该解决方案对测试反馈进行了简化和抽象,使得漏洞验证条件更为简洁,从而显著提高了安全检测的效率。
在项目实施过程中,运行环境资源受限、异构硬件适配成本高、软件接口格式复杂、缺陷状态难以定位是导致传统检测手段难以发挥效果的核心挑战。为此云起无垠提出的嵌入式实时操作系统的模糊智能模糊测试方案进行了针对性的优化,成功突破了检测瓶颈。
运行环境资源受限
在开发环境中,由于资源限制,我们需要优化插桩代码。传统的漏洞检测代码需要高版本的编译器构建,并且会引入很多实验性的插桩代码,这可能不完全适配生产环境中的源代码及其工具链。为了解决这个问题,该方案根据生产环境中嵌入式实时操作系统本身的错误处理逻辑,将测试反馈和漏洞验证条件表述成简单的状态,并封装成较小的通信数据包,以便及时回传测试情况。
异构硬件适配成本高
由于异构硬件适配成本高,但操作系统开发规范中统一了通信接口,因此该方案使用代理APP进行运行状态的监测通信,从而最小化硬件异构造成的多次适配成本。
软件接口格式复杂
尽管统一了底层的通信接口,上层的软件接口格式及其调用顺序仍然非常复杂。为了解决这个问题,该方案使用模板来正确封装并调用软件接口,有效的解决了这一问题。
缺陷状态难以定位
由于生产环境中存在不同版本的嵌入式实时操作系统,相关的监测调试工具不完善,缺陷状态难以定位。为了解决这个问题,该方案自定义了插桩API统一进行状态收集和管理,实现了精准监测目标操作系统的异常状态。
天脉操作作系统在航空工业中有着广泛应用,且大量应用软件基于该操作系统开发和运行。将本技术方案推广到航空工业各研究所和企业,可以作为该领域安全检测的基础手段之一,有效提高软件质量安全水平,为我国航空事业保驾护航。
云起无垠是新一代AI赋能软件供应链安全实践者,致力于推动AI赋能信息系统安全智能化检测和缺陷自动化修复。团队汇聚了来自清华、北邮等知名高校以及华为、腾讯等头部IT企业的安全领域创新人才,拥有世界一流的自动化漏洞挖掘能力,产品覆盖智能模糊测试、源代码缺陷分析、软件成分分析、智能安全知识库等。
成立以来,云起无垠已完成数千万融资。同时,获得数十项软件著作权和专利,并通过ISO 9001、ISO 20000、ISO 27001等认证,参与二十多项国家及行业标准制定,服务于能源、金融、通信、汽车等多个行业。
随着技术的不断革新和应用,云起无垠将继续努力,以技术为引擎,以创新为动力,不断构建更完善的产品、服务。与此同时,持续引领行业发展,为数字化时代的稳定安全贡献更多力量。??