日前,北京市科學技術獎評選工作結束,七〇六所航天中認軟件測評科技(北京)有限責任公司與北京大學聯(lián)合申報的“大規(guī)模跨語言代碼安全檢測技術及應用”項目,作為國內(nèi)首個自主掌握代碼安全檢測領域創(chuàng)新成果,榮獲2020年度北京市科學技術進步二等獎。航天中認技術攻關團隊在軟件代碼安全檢測技術基礎上,主要承擔了面向航空航天等多個領域的定制開發(fā),并在軍用裝備、軌道交通、電力能源等領域開展關鍵系統(tǒng)測評服務。
此次榮獲北京市科學技術進步二等獎,依托了航天中認多年在航天領域測試實踐中的技術能力和創(chuàng)新能力。本次項目開展過程中項目攻關團隊從大規(guī)模程序分析關鍵技術攻關、重大工程任務試點、代碼安全質(zhì)量保障等方面均獲得顯著成果。
瞄準“卡脖子”關鍵技術
建立自主掌握的軟件質(zhì)量及安全保障體系
軟件代碼安全檢測技術是保障軟件安全的重要手段,傳統(tǒng)的代碼分析技術,在進行大規(guī)模代碼檢測時會發(fā)生狀態(tài)爆炸,在計算資源和計算效率的約束下,分析精度受到嚴重制約,導致軟件風險難以有效控制。軟件安全檢測技術已經(jīng)成為影響我國軟件質(zhì)量和安全的關鍵技術。針對大規(guī)模程序分析狀態(tài)爆炸的根本性計算難題,項目攻關團隊提出了基于程序復雜度的自適應分析方法,實現(xiàn)了檢測精度和效率的有機平衡,檢測效率達到150萬行代碼每小時,誤漏報率控制在30%以下。形成了具有自主知識產(chǎn)權、獨具特色的技術體系,技術成果在檢測效率和精度等方面達到國際先進水平。
為多項國家重大工程保駕護航
通過多年的技術深耕,航天中認已將該項技術成果成功應用于多項重大工程任務中,在航空航天、軍工、金融、電信等領域得到廣泛應用,發(fā)現(xiàn)了超過39萬個缺陷漏洞,缺陷密度為平均6.98個/千行,預計節(jié)約總成本為19.6億元。航天中認團隊聚焦軟件代碼安全檢測技術在航空航天領域的漏洞挖掘,持續(xù)開展深入研究,解決了航天軟件靜態(tài)代碼分析技術固有的高誤報缺陷的問題,設計了基于動靜結合的缺陷自動驗證機制,構建了基于跨模態(tài)多粒度代碼語義表示的缺陷自動分類模型。該成果已獲得5項授權發(fā)明專利、18項軟件著作權,發(fā)表論文40余篇。
解決代碼安全質(zhì)量保障關鍵問題
本次項目研發(fā)成果增強了國內(nèi)軟件安全服務的硬實力,已成為軟件產(chǎn)業(yè)鏈的重要組成部分,服務于軟件開發(fā)、系統(tǒng)驗證和漏洞發(fā)現(xiàn)利用。經(jīng)比較分析,整體檢測能力達到了國際先進水平,具有顯著的經(jīng)濟、社會效益和推廣價值,航天中認已利用大規(guī)??缯Z言代碼安全檢測技術,為航空航天、 船舶、兵器、電子、核能、電信、電力、軌道交通、互聯(lián)網(wǎng)、金融、政府等多個安全關鍵領域提供質(zhì)量保障。
本項目解決的軟件代碼安全檢測關鍵技術,為構建我國自主掌握的安全檢測生態(tài)系統(tǒng),提供了有力保障。今后航天中認將持續(xù)加強在多領域的專業(yè)測評技術研究、以及相應的技術和手段創(chuàng)新工作,為構建自主、安全、可控的測評驗證環(huán)境不斷努力。