简介

由于软件设计缺陷和软件开发过程中产生的漏洞将沿着软件供应链的树状结构由上游向下游扩散,加大了软件供应链的安全风险,当前大型企业数字化水平迅速提高,提供的数字化服务融合各种开源闭源软件,这就对软件的业务逻辑和安全质量控制及标准提出了更高的要求。本项目针对软件代码模糊测试智能化程度不高、软件成分自动分析覆盖面不广、软件代码自动化安全评估能力缺乏的问题,研究面向软件供应链安全的软件代码安全检测技术,以上下游产业安全。一是研究软件代码智能模糊测试技术,实现软件代码的智能......

审核通过后可以查看,申请审核
内容

省份 大企业名称 合作方式
北京市 恒安嘉新(北京)科技股份公司 项目委托
需求名称 所属行业 时间要求
面向软件供应链安全的软件代码安全检测 现代服务业及其他 1年

需求内容:
由于软件设计缺陷和软件开发过程中产生的漏洞将沿着软件供应链的树状结构由上游向下游扩散,加大了软件供应链的安全风险,当前大型企业数字化水平迅速提高,提供的数字化服务融合各种开源闭源软件,这就对软件的业务逻辑和安全质量控制及标准提出了更高的要求。本项目针对软件代码模糊测试智能化程度不高、软件成分自动分析覆盖面不广、软件代码自动化安全评估能力缺乏的问题,研究面向软件供应链安全的软件代码安全检测技术,以上下游产业安全。一是研究软件代码智能模糊测试技术,实现软件代码的智能
漏洞挖掘、测试用例自动生成、缺陷协助修复、覆盖率计算等功能。二是研究源代码软件成分分析技术,实现软件成分识别、安全风险检测、项目许可证检测、软件出口合规分析等功能。三是研究源代码多维度评估技术,实现代码来源、代码质量、代码知识产权可控、代码成熟度等多特征联合建模。四是研究软件代码漏洞挖掘技术,采用基于神经网络的漏洞挖掘和符号执行的缺陷识别等技术,实现供应链上游代码漏洞挖掘。交付一套软件供应链安全的软件代码安全检测系统,达到源代码安全检测、语义缺陷检测、安全漏洞
扫描、编码规则审计、代码度量等效果。
参数要求:
1.代码测试支持C、C++、JAVA、PHP、JS、HTML、Python等不少于10种检测语言;
2.支持SQL注入、跨站脚本攻击、密码权限、非法计算、线程锁死、0Day漏洞等不少于10种安全漏洞检测;
3.支持GJB-5369规则集、GJB-8114规则集、ISO-17961规则集、CERT规则集(JAVA)、MISRA-2004规则集等不少于编码规则;
4.支持200万行/h代码安全检测;
5.软件代码安全检测误报率小于15%。
需达到效果:
研制一套实用化的面向软件供应链安全的软件代码安全检测分析系统。利用软件代码智能模糊测试、源代码软件成分分析、源代码安全评估和软件代码漏洞挖掘技术,实现编码阶段、发布阶段、运营阶段的软件代码安全检测和评估,挖掘漏洞,对软件代码深层缺陷查找,精确定位缺陷,提升软件代码安全性,助力企业数字化转型,取得经济社会效益。
时间要求:1年;
拟采取的合作方式:项目委托;
预算金额:600万元;
拟采取的合作方式:项目委托。