智能化的自适应分析引擎技术

一、 企业简介

    北京北大软件工程股份有限公司成立于2000年12月，注册资金3500万元，是软件工程国家工程研究中心的企业化运作机制。由计算机软件科学家、中国科学院院士杨芙清教授担任首任中心主任，张世琨研究员担任现任主任，是国家级软件工程重点实验室。公司先后承担了科技部863计划、科技部973计划、工信部核高基项目、国家发改委产业化专项、教育部自然科学基金、总装预研项目等20余项重点研究课题。公司拥有员工近500余名，其中博士占7.8%、硕士占48.4%，本科占43.8%，同时汇聚了包括院士、教授等国家级具有工程开发和控制经验的专家10余名，拥有一支软件开发、信息安全方面中级职称以上的技术开发团队，一支软件过程研究、咨询、实施服务队伍。

    专利及著作权方面：公司已取得专利20余项、软件著作权40余项，包括具有高新技术企业、软件企业、北京市信用企业 AAZC-级、涉及国家秘密的计算机信息系统集成甲级资质、ISO9001：2008质量管理体系认证、ISO 27001：2013 信息安全管理体系认证、GJB 9001B：2009 武器装备质量管理体系认证、CMMI五级资质认证、计算机信息系统集成资质认证、北京市信用企业AAZC-级、CWE认证（Common Weakness Enumeration,由美国国土安全局下的US-CERT资助）等资质。

二、 技术及产品介绍

    公司在软件静态代码分析、二进制漏洞智能挖掘、动态覆盖率测试、缺陷模式库等方面形成了一系列具有自主知识产权的关键技术，同时也是国内首家在软件静态代码分析领域中拥有CWE认证的企业，并多次获得国家科技进步奖和省部级科技进步奖。

    CoBOT（库博）静态代码分析工具通过军民技术融合，提出自主知识产权的静态分析检测模型——值依赖模型，同时首次采用基于机器学习的自适应分析引擎，可根据被测程序的复杂度进行分析精度自动折衷，同时可根据已分析检测的程序自行优化调整，并自动丰富、更新自主的缺陷模式库，并在此模型上进行运行时缺陷的检测，填补了国内静态检测工具难以发现运行时缺陷的空白。

    总体上说，CoBOT（库博）相对于国内外各类国际化商业工具相比，在功能、易用性以及用户群上都有明显的优势及特色，主要包括以下几个方面：

    1 智能化的自适应分析引擎技术

    1) 通过对程序复杂度分析，分析算法可以进行自适应调整，防止了状态爆炸问题；

    2) 基于人工智能及大数据的技术，确保分析精度越来越高，性能越来越优化。

    2 词法语法分析技术

    相较于国外工具只能在程序编译通过下进行检测，CoBOT（库博）能够支持在工程编译不通过的情况下进行代码检测分析(支持片段代码分析)，并可在1小时内完成100万行代码的缺陷检测。

    3 攻击向量生成技术

    相较于国外工具CoBOT（库博）支持更多、更全面、更准确的安全漏洞检测，通过该技术不仅能自动化确认漏洞发现结果的正确性，同时有效补充漏洞发现的不足，还能够为自动对漏洞利用打下基础，以实现智能化的自动攻击。

    4 更丰富的缺陷检测类型

    国外工具只支持单独的语义（运行时缺陷）分析或者单独的编码规则检测，截止到目前，CoBOT(库博)支持的检测缺陷、漏洞及规则种类多达1600余条。除了支持语义（运行时缺陷）分析、漏洞检测，还支持编码规则的审查，其中涵盖了国内外主流的编码规范标准，特别对国内最新的军用标准GJB8114（目前唯一支持该标准检测的产品）、GJB5369也进行了支持，还支持最新国际最新安全规则集ISO-17961(45条)全部规则集检测，同时还支持对第三方库（QT库）检测。

    5 更人性化的用户需求定制

    1) CoBOT（库博）支持量身定制编码规则、语义缺陷以及报表文档，同时可以较低的价格，更短的周期为用户“量身定制”各类编码规则、运行时缺陷、安全漏洞，满足各行各业用户的实际需求；

    2) 国外静态分析工具的研发团队均在国外，较难与国内客户进行技术上的沟通；而CoBOT（库博）的研发与服务团队全部在国内，可提供全方位的用户跟踪服务。

    6 更安全的代码检测环境

    相较于国外工具CoBOT（库博）作为国内领先的静态分析软件，采用专利分析引擎技术，自主研发核心技术，检测环境安全自主可控，并能够做到测试人员与被测程序的权限区分与隔离。CoBOT（库博）隶属于北京北大软件工程股份有限公司，并具备等级较高的保密资质，这也在一定程度上保证了其安全性和保密性。

    7 操作简单，更加易用

    1) 相较于国外的源代码检测工具，库博采用全中文操作界面以及报表生成，通俗易懂；

    2) 国外工具需要输入大量命令行，且操作复杂，库博采用向导式检测方式，无需培训即可使用。

    8 国产化环境支持

    1) 国产化操作系统支持，包括：中标麒麟系列、RedHat系列、U麒麟系列等；

    2) 国产化芯片支持，包括：龙芯系列、申威系列、展讯系列、全志系列、瑞芯微系列等；

    3) 国产化办公软件支持，包括：中标普华office、Red Office系列、 OpenOffice系列、LibreOffice系列等。

三、 应用领域

    1.军队、军工企业研发及测试中心，在开发过程中发现软件漏洞及缺陷,易于修改,降低开发成本、防止错误在武器系统中扩散进而影响后期开发的代码行为。

    2.各类软件企业研发及测评中心、国家及省市互联网应急中心，在软件研发及测试过程中，发现软件漏洞及缺陷，降低测试人员的测试成本，在短时间内发现软件的致命漏洞及缺陷，同时可更好的满足国家对信息安全测评工作的要求，对信息安全项目进行科学、全面、有效的风险评估。

    3.各类金融企业，可检测多类应用的高危的漏洞，发现其最脆弱的环节，使得应用变得更加安全、可靠，可更好的对金融领域的应用安全进行保驾护航。

四、 应用案例

    1 军队、军工领域应用

    借助CoBOT使代码检测效率大大提高，一方面可以提高测试过程的复用度，减少测试工作量，极大节约测试投入成本；另一方面，大量减少后期维护更新等的投入；最后，随着面向程序综合测试能力的提升，将有效保障程序安全稳定的运行，更好辅助支撑企业运行、管理以及增值各环节，使得企业的测试成本减少了30%，带来较大的间接经济效益。

    2 国家、省市互联网应急中心

    通过CoBOT处置了网络安全事件13573起，包括处置DDoS攻击服务售卖平台14个，DDoS攻击控制服务器51个，远程拒绝服务漏洞367个、远程代码执行漏洞，通知1706个被篡改和916个被植入后门的网站用户单位对网站进行修复。

    3 国家、省市测评中心

    静态代码缺陷漏洞检测系统库博（CoBOT）已发现了300多类应用的高危的漏洞，发现其最脆弱的环节，使得应用变得更加安全、可靠，使得每百万行代码的检测效率提高了80%，误漏报率降低到了15%左右。中心可以更好的满足国家对信息安全测评工作的要求，对信息安全项目进行科学、全面、有效的风险评估。

    4 互联网、高新技术软件企业

    实施静态代码测试工具库博（COBOT）以来，使本企业在软件研发及测试方面有以下几点的改进及提高。

    主要包括：

    1. 开发早期发现软件错误,易于修改,降低开发成本、防止错误在系统中扩散进而影响后期开发的代码行为。

    2. 有助于开发人员发现个人编码风格的缺点、提高了本所的软件研发质量，降低缺陷率。

    3. 通过本软件大数据分析功能，使领导层全面对本单位的软件缺陷进行分析和掌控，并能发现各开发人员在各项目中的各类缺陷的集中数量，监控软件质量的趋势。

    截止到目前，库博（CoBOT）采购及试用用户数已达104家企业，其中军队军工企业46家，非军工企业58家。