复旦与中国电信联合研发软件供应链安全治理平台取得重要突破、项目一期圆满结束

    当前，开源已是云计算、大数据、人工智能、工业互联网等新兴领域的主要开发模式，软件供应链的开源化趋势越来越明显，根据Forrester Research研究，应用软件中80%~90%的代码来自开源组件，开源组件的安全性直接关系到信息系统基础设施的安全。与此同时，大量开源组件的引入和它们之间错综复杂的依赖关系使得软件供应链越来越趋于复杂化和多样化，软件供应链安全风险不断加剧，Gartner预测到2025年全球45%的企业机构将遭遇软件供应链攻击，相比2021年增加了3倍。

    我国政府也较早的意识到了软件供应链安全问题的重要性，积极制定相关法规政策，推动软件供应链安全领域技术进步。“强化网络安全、数据安全和个人信息保护”已经连续两次作为目标在政府工作报告中出现，《“十四五”软件和信息技术服务业发展规划》中更是明确提及软件供应链安全。

治理平台态势感知大屏

    复旦大学系统软件与安全实验室团队也将提升独立自主的软件供应链安全治理能力作为目标之一，深耕领域核心技术，取得了一系列重大成果，针对日益严峻的软件供应链安全形势，与中国电信联合研发了一套软件供应链安全治理平台。

    2023年10月25日，软件供应链安全治理平台项目一期交付验收三方评审会议在线上成功举行，该项目由复旦大学系统软件与安全实验室和电信天翼安全科技有限公司联合研发。本次会议由电信安全公司SOC部门主持，召集复旦研发团队、电信研发团队及相关部门进行。会议充分讨论了项目的各个环节，从数据、工具、系统、文档等多维度进行了审核。会议得出，软件供应链安全治理平台项目一期圆满通过三方评审，项目从数据质量、系统功能实现方面整体表现优秀，应用效果优于现有产品。

漏洞信息增强、软件成分分析、漏洞误报消除方案

    在本项目的建设过程中，复旦团队发现当前主流漏洞数据的填充多基于人工提交，信息的完整性与准确度难以保证，错漏现象时有发生，在国家级漏洞库海量数据的背景下，该问题逐渐成为漏洞治理过程中的痼疾，并直接导致了企业软件系统中长期存在的高危漏洞难以被发现。

    为此，复旦大学系统软件与安全实验室研究人员经过对各开源漏洞信息库的综合情况进行调研，依托于实验室一直以来在程序分析和人工智能上的技术积累，针对漏洞治理过程中所需要的关键信息，提出了一系列的漏洞信息增强、软件成分分析、漏洞误报消除等方案，并在代表性云组件上验证了方案效果。且通过与市面上漏洞治理相关产品的横向对比，具有漏报、误报低的优势，可以帮助企业在系统中快速、准确地找到安全隐患，减少漏洞研判过程中因为漏洞信息不完整、不准确导致的效率问题，并为后续漏洞治理工作提供高质量的漏洞修复建议与方案。相关研究成果经整理后发表在网络安全顶级学术会议ACM CCS、USENIX Security以及IEEE Security&Privacy上。

    经过一年多的联合研究，软件供应链安全治理平台项目一期顺利结束。双方一致认为，该项目在漏洞相关数据的数量及质量方面都表现出色，建设了涵盖国内外主流软件漏洞数据的大型综合漏洞知识库以及更加完善的组件-漏洞关联关系，实现了精准的漏洞关联与告警能力。软件供应链安全治理平台项目一期工作的成功交付为项目后续工作奠定了坚实的基础，将进一步推动行业的发展和创新。