近日，由中国产学研合作促进会主办的“2022年中国产学研合作创新与促进奖”评审结果揭晓，经过产学研合作创新与促进奖评审委员会组织相关专家对申报材料进行评审，北京中科天齐信息技术有限公司(简称中科天齐)荣获“2022年中国产学研合作创新奖”。为弘扬创新精神，推动产学研深度融合，鼓励和表彰在推进政产学研金服用协同创新工作中，作出突出贡献的先进单位和个人，经科技部和国家科技奖励工作办公室批准设立了“中国产学研合作促进会产学研合作创新与促进奖”，并下设产学研合作突出贡献奖、产学研合作创新奖、产学研合作促进奖、产学研合作创新成果奖、产学研工匠精神奖五个奖项。产学研合作创新奖分为单位奖和个人奖，获得此奖的申报者在工作中勇于创新、勇于实践，推进产学研用深度融合方面成效显著，社会效益、经济效益突出，有完善的技术创新体系和成功案例。未来，中科天齐将继续进行更深入的科学技术研究，通过技术创新驱动企业发展，充分发挥企业在创新方面的优势和作用，推动产学研融合发展，促进科技成果转化和产业化。北京中科天齐信息技术有限公司由中科院研究员李炼博士创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台为主打产品，团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。中科天齐软件源代码安全缺陷检测平台(WuKong)为北京中科天齐信息技术有限公司自有知识产权产品，是一款自主可控的国产化软件。WuKong是一款B/S 架构的国产信创静态软件安全测试工具，能够对软件代码进行全方位的安全检测和安全分析。可检测代码运行时缺陷、安全漏洞及编码标准规范。可应用于软件生命周期的各个阶段，包括：开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。 WuKong兼容麒麟、鲲鹏等多种国产化环境，支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369，行业标准 SJT 11682、SJT 11683，国际规范CWE Top25、OWASP Top10等，可根据需求进行定制化处理。可直接整合到客户的开发流程中，与客户的代码管理仓库，缺陷管理系统进行对接，在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。

近日，数说安全正式发布《2023年中国网络安全市场全景图》，中科天齐的静态代码安全测试工具WuKong入选开发安全领域。作为中国网络安全行业内最专业且具影响力的研究机构，此次数说安全全景图采用科学、遵循市场发展规律且符合客户采购习惯的分类方法对市场进行研究。结合数说安全商业分析平台CSRadar上超百万个网络安全项目信息，深入分析各细分市场的实际发展状况、市场成熟度、品牌渗透率、技术发展趋势，并以全景图为载体对各细分市场中的热点品牌进行汇总和展示，为我国网络安全行业主管部门、从业者、网络安全产品及服务的使用者和购买单位以及资本机构提供借鉴与参考。北京中科天齐信息技术有限公司由中科院研究员李炼博士创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台为主打产品，团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。中科天齐软件源代码安全缺陷检测平台(WuKong)是一款B/S 架构的国产信创静态软件安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，能够对软件代码进行全方位的安全扫描和安全分析。可以检测软件源代码运行时缺陷、安全漏洞及编码标准规范。 目前，WuKong已获得国家信息安全漏洞库CNNVD兼容性认证及CWE国际兼容性认证，兼容麒麟、鲲鹏等多种国产化环境。

在自动化安全测试中最常见的是静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)。这两种工具每个都解决不同的问题，并有自己的一套优缺点，但两者都旨在软件开发生命周期 (SDLC)中提高测试应用程序的速度、效率和覆盖路径。什么是 SAST?静态应用程序安全测试 (SAST) 是一种用于软件开发早期阶段的安全测试工具。SAST直接面向源代码，从内到外分析应用程序，在编译代码之前检查软件中的缺陷。防止黑客利用易受攻击的代码，并使 DevOps 团队不必在部署应用程序后修复缺陷。SAST具有许多明显的优势，包括能够精确定位问题代码并在开发早期发现缺陷。此外，SAST 可以自动化并轻松集成到持续集成和持续交付(CI/CD)管道中，以便更频繁地交付可靠的代码。什么是DAST ?动态应用程序安全测试(DAST)与 SAST 相反。DAST在流程的后期使用，DAST工具无法访问源代码，并且从外部测试应用程序，就像黑客试图入侵。因此，DAST通常被称为黑盒测试。SAST 优缺点使用 SAST 进行检测时，开发人员在代码库中生成逻辑和功能时会收到即时通知。SAST 扫描可识别可被利用的逻辑缺陷。例如，SQL 注入或跨站点脚本 (XSS) 攻击。SAST 的缺点会存在一定的漏报，并且对于配置错误无法查找。DAST 优缺点DAST 主要优势是能够跨多个服务器、环境(例如云和本地)、API 端点和其他基础架构扫描整个攻击面。但也有一些缺点，如DAST无法直接定位缺陷所在，开发人员很难确定导致出现问题的位置。而且由于它发生在SDLC的后期，所以会导致修复问题的时间成本增加。SAST vs DAST：如何选择测试软件更全面的方法是同时使用 SAST 和 DAST，在开发人员编码时运行SAST ，同时将DAST运用在部署到测试环境后扫描软件。SAST 和 DAST 工具可帮助操作人员和开发人员了解软件中的关键安全问题。例如，SAST可以自动化并用于创建报告，开发人员可以依靠这些报告来快速定位源代码中的缺陷，然后可以对其进行修复。SAST工具可以生成实时报告，以便在编码过程中提供即时反馈。可以防止在软件开发生命周期 (SDLC) 期间出现一连串缺陷。SAST 可用于将 DevOps 和 DevSecOps 结合起来，提供应用程序漏洞的全面视图，并为开发人员提供修复建议。通过DAST工具查找SAST无法发现的安全漏洞，查找软件运行中可被利用的漏洞。 现代软件开发和 DevOps 流程对于快速开发代码和部署补丁至关重要。但这种快速的过程也意味着忽略一些软件漏洞。结合使用自动化 SAST 和 DAST 工具，有助于形成更安全的 SDLC，降低应用程序包含可致命漏洞的可能性。

随着软件供应链攻击的复杂性和结果的严重性，企业需要明白网络安全防御不再是一个多余的过程，同时也不应是事后才意识到的问题。在软件开发过程中提高安全性不仅可以提高效率，同时还能避免因网络攻击造成的经济和信誉损失。DevSecOps 如何帮助防止供应链攻击?关键在于 DevSecOps 提供的可见性和控制性。DevSecOps关注整个软件开发过程中的安全问题。安全问题由整个流程的人员参与其中，团队对安全问题具有广泛的可见性。同时DevSecOps团队也了解正在开发的代码，很容易在代码中定位漏洞并修复。DevSecOps流程中有很多自动化工具，这些工具可以扫描代码查找安全问题，甚至在缺陷成为问题之前检测到缺陷。这些工具用于开发过程的所有阶段。静态测试：在应用程序代码运行之前，对其进行静态测试发现漏洞。静态应用程序安全测试(SAST)等工具可以分析代码并检测可能存在的安全问题。静态测试可以覆盖在自动化 CI/CD 管道上，阻止具有安全漏洞的代码提交到代码库。动态测试：动态测试通过运行应用程序来发现可被利用的漏洞，动态应用程序安全测试(DAST)工具能够检测SAST无法查找的漏洞。组织可以为 CI/CD 管道中的应用实施动态测试，检测可执行应用程序的安全漏洞。交互式应用测试：是静态和动态测试的组合。使用IAST工具在可用代码上运行静态测试，并为特定应用程序提供定制的动态测试。纯静态和动态测试通常适用于开发过程的早期阶段，而交互式测试解决后期出现的漏洞。开源组件分析：使用SCA工具检查第三方库和依赖项安全性。在 CI/CD 管道中集成SCA工具可显著降低依赖项和其他组件中的漏洞对项目代码库以及开发过程本身的不利影响。安全即代码 通过在软件开发过程中集成安全测试，将从底层代码开始提高应用程序的安全性。每当提交代码时，安全测试都会自动运行，这确保了健壮、一致、高度可扩展的安全性。

近日，第八届安全创客汇《2023网安创业新锐50强》正式公布，中科天齐成功入选。安全创客汇组委会评审专家经过对参赛企业进行多维度、细致评审，最终，由安全创客汇、数世咨询、数说安全、安全419、嘶吼、安全喵喵站、新安盟、通信世界全媒体、安全牛等多家机构联合，正式发布《2023网安创业新锐50强》安全创客汇初赛50强晋级名单。第八届安全创客汇自2月份启动以来，受到了业内安全创业者的极大关注，共收到一百多家企业报名。评选过程中，评审专家通过对参赛企业从技术、产业、团队三个核心维度进行评估，遴选出50家创新能力强、成长速度快、研发水平高、发展潜力好的高成长创新型企业。本次50强企业所处赛道包括：数据安全、网络与通信安全、安全管理与运营、软件供应链安全、业务与应用安全、云安全、身份与访问安全、工业与物联网安全、汽车与车联网安全和泛安全领域10大方向。关于中科天齐北京中科天齐信息技术有限公司由中科院研究员李炼博士创立，以自主研究成果中科天齐软件源代码安全缺陷检测平台为主打产品，团队凭借多年在程序分析领域的技术积累，致力打造安全漏洞治理领域新生态的高新技术企业。关于WuKong中科天齐软件源代码安全缺陷检测平台(WuKong)是一款B/S 架构国产静态软件安全测试工具，能够对软件代码进行全方位安全扫描和安全分析。可检测代码运行时缺陷、安全漏洞及编码标准规范。可应用于软件生命周期的不同阶段，包括：编码阶段、代码集成阶段、系统发布阶段和系统上线后。可直接整合到开发流程中，与代码管理仓库(Git 等)，缺陷管理系统(Jira等)进行对接，在不增加研发成本的前提下帮助开发人员减少交付不安全代码的风险。 WuKong已获得国家信息安全漏洞库CNNVD兼容性认证及CWE国际兼容性认证。兼容麒麟、鲲鹏等多种国产化环境。

随着应用软件在生产生活中的广泛使用，如果想保持长期的安全性，应该从内部开始建立软件的安全性。静态应用程序安全测试(SAST)是一种在部署前来发现安全问题的方法，在软件开发期间检测应用程序源代码中的缺陷和漏洞。SAST通过高级算法和检测规则集来识别潜在的安全漏洞，如SQL 注入、跨站点脚本 (XSS) 和缓冲区溢出。通过在开发过程的不同阶段运行 SAST 测试，可以确保构建的应用程序从一开始就是安全的。SAST可应用于软件生命周期的不同阶段，包括：开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。SAST的工作原理静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST)不同，DAST在运行时分析应用程序，通过向应用程序发送请求来实时识别漏洞。而SAST不需要运行程序，在不执行应用程序的情况下，面向所有源码进行检测，来发现编码规范问题、缺陷及潜在的安全漏洞。这两种测试方法通常一起使用，以全面评估应用程序安全性。使用 SAST 的好处及早检测代码中的安全问题，以防止在开发周期后期修复需要花费更多的经济和精力。提供对应用程序源代码的全面测试，涵盖代码中所有可能的路径和流程，识别可能被忽视的潜在安全漏洞。可以自定义来满足应用程序的特定需求和安全策略。SAST 具有高度可扩展性，可以快速高效地扫描大量代码。与其他开发工具(如 IDE 和构建系统)集成，使开发人员能够实时识别和修复安全问题。确保符合安全编码标准。为什么SAST在软件开发生命周期(SDLC)中很重要?SAST可以在SDLC的不同阶段执行，以识别潜在的安全风险并提前进行修复，确保安全编码：在开发过程中，SAST 工具可用于在编写代码时识别和修复代码中的缺陷和安全漏洞。在测试阶段，SAST 可用于验证是否已修复所有已识别的漏洞，并确保应用程序符合安全标准。 最后，SAST 可以通过确保对应用程序的更改或更新不会引入新的安全漏洞来维护安全性，从而保持安全和合规。

2023年4月7日，安全牛第十版网络安全行业全景图(基于2022年度数据申报收录)正式发布，中科天齐自主研发的国产静态代码安全检测工具WuKong成功入选“软件供应链安全”——静态安全测试领域。第十版网络安全行业全景图共收录456家国内网络安全企业和相关行业机构，较第九版增加23家;细分领域共收录3180项，较第九版增加571项。收录结果显示我国网络安全行业仍然呈现技术碎片化、多样化发展态势，“专业化、精细化、特色化、新颖化”仍将是创新安全企业未来主要的发展方向。根据对第十版全景图申报企业年度经营数据的统计、修正与分析，加之我国网络安全法规的不断完善，企业数字化转型的安全需求持续提升，以及新冠疫情的影响趋缓，预计2023年网络安全产业增速将重新回到30%以上。中科天齐软件源代码安全缺陷检测平台中科天齐软件源代码安全缺陷检测平台(WuKong)是一款B/S 架构的国产信创静态软件安全测试工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，能够对软件代码进行全方位的安全扫描和安全分析。可检测代码运行时缺陷、安全漏洞及编码标准规范。WuKong可应用于软件生命周期的各个阶段，包括：开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。支持插件集成，如Eclipse、IDEA等插件。可集成到Jenkins平台，满足Devops/DevSecOps平台建设需求。兼容麒麟、鲲鹏等多种国产化环境，支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369等，国际规范CWE Top25、OWASP Top10等，可根据需求进行定制化处理。 目前，WuKong已获得国家信息安全漏洞库CNNVD兼容性认证及CWE国际兼容性认证。

什么是关键基础设施，为什么会受到攻击?关键基础设施是指对国家安全、经济、公共卫生或安全至关重要的物理和数字资产、系统和网络。Cato Networks安全战略高级总监表示:“关键基础设施并不一定是发电厂或电力。一个国家的货币体系，甚至是全球货币体系，也可以而且应该被视为重要的基础设施。”这些特性使得关键基础设施成为网络攻击的首选目标。如果关键基础设施中断，影响将是巨大的。在某些情况下，此类针对关键基础设施的网络攻击已成为现代战争的另一种手段。但与传统战争不同的是，在这些冲突中，平民和企业处于前线并成为目标。最近的几个突出例子包括2015年对乌克兰电网的攻击，2018年对堪萨斯州核电厂商业网络的入侵，以试图入侵SWIFT网络窃取超过10亿美元。更不用说影响巨大的Colonial Pipeline攻击，已经成为关键基础设施攻击的典型案例。然而，攻击的目标可能有所不同。虽然有些确实是通过测试能力和防御来为未来冲突做准备，但其他可能是出于经济利益，试图窃取数据，获得远程访问或控制，或破坏和破坏服务。关键基础设施如何受到攻击针对关键基础设施的攻击有几种类型。主要是DDOS、勒索软件(通过鱼叉式网络钓鱼)、漏洞利用和供应链攻击。此外通过人员的原因导致的攻击更难以阻止。保护关键基础设施关键基础设施业务的复杂性要求网络风险管理在各种因素和载体之间保持持续和一致的前瞻性。国家和地方实体主动地对威胁进行主动评估、优先排序和管理。公共和私营部门组织也在关键基础设施社区(例如信息共享和分析中心)中共享信息和网络防御最佳实践。此外，当前市面上存在很多工具和安全产品，以帮助提高关键基础设施的安全性，不论是从内部提高软件安全，减少漏洞来主动增强防御能力，还是从外部工作来抵御网络攻击。关键基础设施需要实时了解风险态势，在可靠的数据科学原理的支持下，网络风险量化具有解决这一挑战的独特机会。 随着网络犯罪分子活动日益频繁，供应链攻击和对关键基础设施的攻击在复杂性和影响力方面持续增加，组织首先应该关注实施信息和技术管理的最佳实践，包括检测软件代码安全性、网络分段、多因素身份验证和访问控制等，其次，组织需要实施量化风险管理，确保他们能够正确评估、优先排序和管理网络安全风险。

从汽车到飞机，从医疗设备到工业控制系统，许多现代化产品都需要由软件驱动，安全问题已经成为制造商关注的重点问题。软件缺陷不仅会通过引入可被攻击者利用的漏洞影响安全性，还会通过影响产品的功能操作来影响安全性。此外，产品安全还会产生财务财务影响。例如，在开发中修复漏洞的成本比在测试中低10倍，比在生产中低100倍。这也说明为什么静态应用程序安全测试(SAST)已经成为产品安全性的基石，以及安全左移中在开发的早期阶段进行代码分析。与其他形式的应用程序安全测试(AST)不同，SAST扫描所有源代码，包括配置文件，而不仅仅是在运行时执行的代码。SAST还可以进行代码规范检测。软件质量和安全性是密不可分的，因为编写得不好的软件通常不安全。为了确保SAST工具更符合企业的业务需求，在评估SAST工具时，通常会考虑以下几点：1.多种语言支持语言的选择通常基于软件开发商的编程需求、消费者的需求以及与产品相关的硬件。例如，为航空航天等安全关键型应用开发软件所需的功能与用于构建 Web 应用程序的语言不同。支持多种语言代码检测，如C/C++、Java、C#、Python、PHP、JS、HTML等。2. 与多种开发环境集成开发环境平台通常包括编译器和调试工具以及各种操作系统文件和配置选项，因此确保 SAST 工具可以与所使用的开发环境集成。3. 较低的误报和漏报在DevOps中加入安全性，需要同时保证开发速度和安全性。过多的误报会将开发人员的注意力从完成软件创新开发转移到排查潜在缺陷上。太多误报容易导致开发人员对真正安全缺陷报告失去耐心，并较少关注真正的安全警报。4. 可集成在DevOps中软件开发生命周期使用广泛的工具集，提供自动化以帮助开发人员更快地将产品送到生产阶段。确保 SAST 工具支持并与不同的工具类别集成，包括协作和管理、源代码管理和存储库、IDE、编译器、编排和自动化等。5. 支持国产环境随着企业所使用的环境及软件逐渐国产化，对其安全性检测所使用的SAST 工具需要支持国产化环境。除了支持 Ubuntu、CentOS主流Linux环境部署，还需要支持中标麒麟、银河麒麟等国产操作系统。6. 开发人员友好的用户界面左移安全性通常通过将安全警告集成到开发工程师使用的集成开发环境 (IDE)中来实现。在现有 IDE 中工作的 SAST 工具可以减少呈现给测试人员的错误数量，从而减少大规模“返工”并确保在截至日期前完成任务。7. 支持多种标准许多企业需要使用(有些必须遵守)软件编码实践的标准，如CWE、OWASP、CERT、MISRA等，这些标准为提高软件系统的可靠性和安全性提供了框架。此外，公司可能需要满足国家规定的标准及编码安全标准，如GB/T 34943，GB/T 34944，GB/T 34946以及电子行业标准，SJ/T11682、SJ/T11683和组织特定标准等。 使用这些基本准则来评估 SAST 工具，将有助于所选择的产品满足组织的业务、技术、安全和安保要求。