当前位置: 首页 > news >正文

新兴国家战略级安全话题-软件供应链安全

2022年10月Gartner发布《Hype Cycle for Security in China, 2022》报告,对中国安全市场技术成熟度、产品及供应商情况进行了全面的统计与分析,涉及内容涵盖云计算、大数据、人工智能、物联网和电子商务等方面。报告认为,在安全细分领域中软件供应链安全热度处于上升阶段,SCA 可以帮助应用开发团队发布更安全的代码,并为安全团队提供主动的风险管理方法。墨云科技依托对软件成分分析的技术的创新研究,被认可为国内软件成分分析(SCA)技术领域领先企业。

国内软件供应链安全外政策分析

当今软件开发环境中,引入开源软件避免重复工作是大幅度提高软件研发效率、缩短上市时间、降低开发成本的一种方式,然而开源软件中存在的大量缺陷,研发过程中开源组件的大量运用,随之而来的安全威胁也成为企业组织无法回避的话题,各国针对该问题纷纷出台了相应的政策。

国外政策:
2008年美国颁布《国家网络安全综合倡议》(CNCI),要求从各个层面综合应对供应链风险问题;2012年美国国土安全部发布《全球供应链安全国家战略》,提出安全和高效两大目标;2021年美国总统拜登发布关于增强国家网络安全的14028号政令,明确要求联邦政府采取行动,迅速提高软件供应链的安全性和完整性。经过14年的发展美国将供应链安全问题从初为人知上升为国家战略。

国内政策:
复杂的网络环境下,国家也尤为重视在关键核心部件的研发、生产、采购等环节存在的供应链安全风险,为实现供应链的完整性、保密性、可用性和可控性安全目标,我国在2018年也出台了有关供应链安全管理国家标准,进一步加强了我国在供应链安全领域的研究、评估和监管。

软件供应链分析技术

现代软件应用的供应链非常复杂,软件供应链安全管理是一个系统工程,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、防护能力等,整体提升软件供应链安全管理的水平。然而如何针对供应链安全开展评估和判断,未形成统一认知。市场上针对供应链安全所衍生出的产品良莠不齐,主流技术路线分为两种:

基于源代码的SCA检测
源代码中包含丰富的程序信息,可通过hash严格匹配或文本相似度匹配方式,分析源代码文件相似度从而判断该文件属于什么组件及对应的版本;也可经过源代码—>词法分析—>Token提取—>语法分析—>AST抽象语法树—>语义分析过程来提取相应的数据,再通过机器学习、NLP、CFG调用图、DFG数据流图等等匹配算法进行代码相似度的检测,基于相似度检测结果得出被测软件的组成从而分析可能存在的问题。

基于二进制文件的SCA检测
二进制SCA主要从二进制文件中提取不变性较高的有关常量字符串、部分类名称、函数名称、以及一些配置信息,再运用匹配算法进行相似度计算,对比数据检测出引用的开源软件名称和版本号,同时结合分析二进制代码中的CFG调用图和DFG数据流图等信息让检测变得更加精准。然而这一系列分析需要对被测二进制文件进行反汇编操作,导致分析时效性较低。

墨云智能软件供应链安全分析平台

在软件供应链攻击频发的今天,墨云科技结合前沿技术创新研究和行业应用实践沉淀,打造了针对二进制函数级别的智能软件供应链安全分析平台Scabot。在传统基于二进制文件的SCA检测技术基础之上,墨云科技Scabot在无需源代码的前提下,利用大规模反汇编引擎,获取目标软件的汇编函数,通过神经网络将汇编函数转换成向量形式,从语义层面,计算汇编函数向量和知识库中函数向量的相似度,检索定位黑盒软件中的函数及其可能存在的风险。同时利用OpenSearch高效搜索引擎,对数据库海量数据进行索引,多节点并发进行KNN高效向量搜索,保障检测质量的同时极大提升检测效率,有效解决用户测针对自开发软件及集采软件的成分分析,降低因供应链问题引发的安全风险。

相关文章:

Arcgis使用教程(十一)ARCGIS地图制图之经纬网格设置参数详解

Arcgis地图制图中,经纬网格的添加详细参见: Arcgis使用教程(十)ARCGIS地图制图之经纬网格添加_空中旋转篮球的博客-CSDN博客 1.加载数据 在Arcmap中加载中国矢量图层数据(中国省级行政区图,国界线两个图层…...

开发速查表,一个值得每个程序员收藏的网站

在工作过程中,虽然我们程序员,主要是使用一门语言开发,但免不了会用到其他语言参与其他项目;或者很多全栈工程师,会参与前端的开发调试;总的来说,我们工作过程中,都会涉及到多门编程…...

HTTP协议中的HTTP报文

HTTP中的HTTP报文 1、HTTP报文信息 1.1定义 用于HTTP协议交互的信息叫做HTTP 报文。 HTTP 报文大致可分为报文首部和报文主体两块。两者由最初出现的空行(CRLF)来划分(通常并不一定要有报文主体)。 1.2请求报文和响应报文 请…...

初阶指针(2)

初阶指针&#xff08;2&#xff09;4. 指针运算4.1 指针-整数4.2 指针的关系运算4.3 指针-指针5. 指针和数组6. 二级指针7. 指针数组4. 指针运算 指针 整数指针-指针指针的关系运算 4.1 指针整数 代码一 通过指针进行打印数组内容 #include <stdio.h> int main() {d…...

CodeForces - 450C Jzzhu and Chocolate 数学 贪心

Jzzhu has a big rectangular chocolate bar that consists of n  m unit squares. He wants to cut this bar exactly k times. Each cut must meet the following requirements: each cut should be straight (horizontal or vertical);each cut should go along edges of…...

【最佳实践】gorm 联表查询 joins

内容 使用gorm的一些技巧、经验常规使用示例如何在一对一、一对多、多对一的关系下使用gorm进行联表查询 其他gorm使用和进阶用法参考官方文档 https://gorm.io/zh_CN/docs/index.html 优雅表迁移注册 表自动迁移方式&#xff0c;常见的方式如下&#xff1a; #model层定义m…...

4、paxos协议

一、paxos历史 Paxos算法是一个高容错性的分布式一致性算法。Paxos算法的作者Leslie Lamport 在1982年提出的。下面的分布式协议个人感觉也是借鉴paxos。 二、paxos算法思想 paxos算法解决分布式数据一致性。具体步骤如下 1、lead提出议案且这个议案编号是最新议案&#xf…...

2022亚太杯建模B题思路 : 高速列车的优化设计 小美赛数学建模 B题思路

1 B题&#xff1a;高速列车的优化设计 2022年4月12日&#xff0c;中国高铁复兴CR450多机组成功实现单列列车速度435 km/h&#xff0c;相对速度870 km/h&#xff0c;创造了高铁多机组列车穿越明线和隧道速度的世界纪录。新一代标准动车组“复兴”是中国自主研发的具有全知识产权…...

【数据结构】七种排序方法,一篇文章掌握

文章目录前言1. 直接插入排序1.1 画图演示1.2 直接插入排序详细步骤1.3 时间复杂度&#xff0c;空间复杂度分析2. 希尔排序2.1 具体步骤描述2.2 代码详解2.3时间复杂度,空间复杂度分析3. 选择排序3.1 画图讲解3.2 代码讲解3.3 时间复杂度,空间复杂度分析4. 快速排序4.1 画图演示…...

7K325T 引脚功能详解

本文针对7K325T芯片&#xff0c;详细讲解硬件连接需要注意的技术点&#xff0c;可以作为设计和检查时候的参考文件。为了方便使用&#xff0c;按照Bank顺序排列&#xff0c;包含配置Bank、HR Bank、HP Bank、GTX Bank、供电引脚等。 参考文档包括DS182、UG470、UG475、UG476等。…...

【设计模式】装饰者模式:以造梦西游的例子讲解一下装饰者模式,这也是你的童年吗?

文章目录1 概述1.1 问题1.2 定义1.3 结构1.4 类图2 例子2.1 代码2.2 效果图3 优点及适用场景3.1 优点3.2 适用场景1 概述 1.1 问题 众所周知&#xff0c;造梦西游3有四个角色&#xff0c;也就是师徒四人&#xff0c;这师徒四人每个人都有自己专属的武器和装备。假定我们以及设…...

先聊聊「堆栈」,再聊聊「逃逸分析」。Let’s Go!

要搞清楚GO的逃逸分析一定要先搞清楚内存分配和堆栈&#xff1a; 内存分配既可以分配到堆中&#xff0c;也可以分配到栈中。 什么样的数据会被分配到栈中&#xff0c;什么样的数据又会被分配到堆中呢&#xff1f; GO语言是如何进行内存分配的呢&#xff1f;其设计初衷和实现原…...

QT 编译zlib

博主环境&#xff1a;QT 5.9.1 VS2105 从zlib官网下载zlib源代码&#xff0c;官网链接&#xff1a;https://www.zlib.net/&#xff0c;根据自己的需求进行下载&#xff0c;博主下载的是zip格式的。 下载完成后&#xff0c;进行解压。打开Developer Command Prompt for VS2015…...

沉睡者IT - 为你解密那些卖虚拟资源和知识付费课程的平台到底有多简单和多赚钱。

潜力博主推荐&#xff0c;点击上面关注博主 ↑ ↑ 上图为平台首页面截图&#xff0c;官方总站演示&#xff1a;vip.zzzz.la 备用演示&#xff1a;VIP.网站 1.虚拟资源平台介绍&#xff01; &#xff08;1&#xff09;虚拟资源项目站是一个在线知识付费平台&#xff0c;全自动…...

斐波那契数列、跳台阶、矩形覆盖、而进制中1的个数、判断是否是素数

文章目录1、斐波那契数列2、跳台阶3、矩形覆盖4、二进制中1的个数5、判断是否是素数1、斐波那契数列 本题考点&#xff1a; 间复杂度&#xff0c;fib理解&#xff0c;剪枝重复计算 牛客链接 题目描述&#xff1a; 解题思路&#xff1a; 代码&#xff1a; class Solution {…...

【Designing ML Systems】第 5 章 :特征工程

&#x1f50e;大家好&#xff0c;我是Sonhhxg_柒&#xff0c;希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流&#x1f50e; &#x1f4dd;个人主页&#xff0d;Sonhhxg_柒的博客_CSDN博客 &#x1f4c3; &#x1f381;欢迎各位→点赞…...

第5章 C语言高级的库函数

文章目录文档配套视频讲解链接地址第05章 C库函数5.1 assert.h 断言库5.2 ctype.h 测试和映射字符5.3 math.h 数学库5.4 stdlib.h 标准库1. 字符串转整数、浮点数2. strtod 把字符串中的数字转换成浮点数并返回数字的下一个字符的位置3. strtol 字符串转整数4. strtoul 字符串转…...

PCL Super4PCS算法实现点云粗配准(版本二)

目录 一、算法概述参数解析二、代码实现三、结果展示四、编译好的库一、算法概述 Win10系统下实现Super4PCS: Fast Global Pointcloud Registration via Smart Indexing一文中的配准算法。与版本一实现方式不同的是:这里直接将OpenGR集成到PCL中,目前网上也有很多相关的实现代…...

括号有效配对题型问题解法

目录 问题描述&#xff1a; 问题一&#xff1a;怎么判断一个括号字符串有效&#xff1f; 问题二&#xff1a;如果一个括号字符串无效&#xff0c;返回至少填几个字符能让其整体有效。 问题三&#xff1a;返回一个括号字符串中&#xff0c;最长的括号有效子串的长度。 问题四…...

前端学习路线(一)

很多人问我前端学习的路线是怎么样的&#xff0c;css要学多久&#xff0c;js高级要不要学&#xff0c;先学node.js还是先学vue&#xff0c;所以想通过一篇博文来讲一下这个事情 要不要学前端三剑客 这个问题是很多想快速上手前端的同学问的最多的一个问题&#xff0c;因为有很…...

【Linux系统】网络配置保姆级教学

目录 文章目录网络配置yum install tree 安装和tree显示Linux网络配置[原理图](https://so.csdn.net/so/search?q原理图&spm1001.2101.3001.7020)查看ip和网关ipconfig查看windows网络配置ifconfig查看Linux网络配置ping测试主机之间网络连通性Linux网络环境配置**第一种方…...

kibana 操作elasticsearch索引

前言 使用kibana可以很方便的对es进行各种操作&#xff0c;比如创建索引&#xff0c;删除索引&#xff0c;查询文档等&#xff0c;本篇先演示如何基于kibana 对es的索引进行常见的操作。 环境准备 请提前安装好es和kibana&#xff0c;可以参考 docker搭建es kibana操作es索引…...

什么是IP路由?思科与华为在IP路由配置上有啥区别?

什么是 IP 路由&#xff1f; IP 路由是将数据包从一个网络上的主机发送到不同远程网络上的另一台主机的过程。这个过程通常由路由器完成&#xff0c;路由器检查数据包的目标 IP 地址&#xff0c;确定下一跳地址&#xff0c;然后转发数据包。路由器使用路由表来确定应将数据包转…...

应该记住的10个SQL 查询

注意&#xff1a;所有查询都是用PostgreSQL编写的。 文章目录选择所有行where 语句Group by and Have 子句Order By and Limit日期函数内连接、左连接或右连接子查询相关子查询Case When 子句窗口函数对值进行排序选择所有行 SELECT * FROM employees如下&#xff1a; where…...

java毕业生设计医院新型冠状病毒疫苗接种管理系统计算机源码+系统+mysql+调试部署+lw

java毕业生设计医院新型冠状病毒疫苗接种管理系统计算机源码系统mysql调试部署lw java毕业生设计医院新型冠状病毒疫苗接种管理系统计算机源码系统mysql调试部署lw本源码技术栈&#xff1a; 项目架构&#xff1a;B/S架构 开发语言&#xff1a;Java语言 开发软件&#xff1a;…...

【python】都2022年不会还有人不会在电脑桌面上养宠物吧~

前言 嗨喽~大家好呀&#xff0c;这里是魔王呐 ! 上班枯燥&#xff0c;对着冷冰冰的电脑&#xff0c;相信很多小伙伴即使摸鱼&#xff0c;心情也不愉快。 这时如果有个萌宠能大家进行实时互动&#xff0c;这该有多好呀。再无聊的工作也能增添那么一丝趣味。 今天博主就来给大…...

双十一3000元投影仪评测排名,性价比最高的投影仪是什么品牌

今年的双十一各位都付尾款了吗&#xff1f;作为一年一度的大型电商节活动相信每个人都有参与&#xff0c;尤其是家用产品买的人应该会很多&#xff0c;就比如投影仪&#xff0c;能够代替电视使用&#xff0c;还能呈现出百寸以上的画面&#xff0c;视觉感觉俱佳。可以说3000元左…...

[附源码]java毕业设计壹家吃货店网站

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…...

【跟学C++】C++STL标准模板库——算法详细整理(中)(Study18)

文章目录1、简介2、STL算法分类及常用函数2.1、变序算法(一)2.2.1 初始化算法(2个)2.2.2 修改算法(2个)2.2.3 复制算法(6个)2.2.4 删除算法(6个)3、总结 【说明】 大家好&#xff0c;本专栏主要是跟学C内容&#xff0c;自己学习了这位博主【 AI菌】的【C21天养成计划】&#x…...

嵌入式分享合集106

一、可控硅控制电路实例 可控硅是可控硅整流器的简称。可控硅有单向、双向、可关断和光控几种类型。它具有体积小、重量轻、效率高、寿命长、控制方便等优点&#xff0c;被广泛用于可控整流、调压、逆变以及无触点开关等各种自动控制和大功率的电能转换的场合。 单向可控硅是一…...

翻译文本的软件有哪些?这几个翻译工具你可以试试看

文本翻译&#xff0c;是我们在生活中或工作中比较常见的一个需求。例如有时收到一份英文资料&#xff0c;没时间逐字翻译成中文&#xff0c;那就需要借助翻译工具来帮忙了&#xff1b;或者是有时需要将一些内容翻译成英文&#xff0c;而碰巧遇到句子不知道如何翻译&#xff0c;…...

Android 通过Room操作SQLite数据库

谷歌推荐使用Room操作数据库&#xff0c;Room在 SQLite 上提供了一个抽象层&#xff0c;在充分利用 SQLite强大功能的同时&#xff0c;能够流畅地访问数据库。 Room的三个主要组件&#xff1a; 数据库类&#xff0c;用于保存数据库并作为应用持久性数据底层连接的主要访问点。…...

css--内外边距、 盒子模型、位置、浮动

一、内外边距 1.margin 1.1属性为给定元素设置所有四个&#xff08;上下左右&#xff09;方向的外边距属性。 上下左右具有四个方向:margin-top、margin-right、margin-bottom、margin-left可取值&#xff1a;length&#xff1a;固定值 percentage&#xff1a;相对于包…...

微信小程序制作要多少钱?【制作小程序】

关于微信小程序制作要多少钱的问题&#xff0c;是很多企业商家在制作小程序之前需要了解的事项&#xff0c;因为总是听说制作小程序的费用有高有低&#xff0c;而他们又对这方面不太了解&#xff0c;所以也还是需要了解微信小程序制作要多少钱的。那么微信小程序制作要多少钱呢…...

数据结构每日亿题(六)

文章目录一.用队列实现栈2.大概思路3.代码实现3.13.23.33.43.53.63.7二.用栈实现队列2.大概思路3.代码实现3.13.23.33.43.53.63.7三.结束一.用队列实现栈 原题传送门&#xff1a;力扣 题目&#xff1a;题目的意思是&#xff1a;给你两个队列&#xff0c;让你实现后入先出的操作…...

Java八股文

2022年接近年底了&#xff0c;想必绝大多数的小伙伴跳槽的心已经蠢蠢欲动。但一边又是互联网寒冬、大厂裁员&#xff0c;导致人心惶惶&#xff0c;想跳又不敢跳。但现在罡哥&#xff0c;给大家整理了八股文大厂面试真题和面试技巧。这里免费分享给大家。 资料包括&#xff1a;…...

自动化早已不是那个自动化了,谈一谈自动化测试现状和自我感受……

前言 从2017年6月开始接触自动化至今&#xff0c;已经有好几年了&#xff0c;从17年接触UI自动化&#xff08;unittestselenium&#xff09;到18年接触接口自动化&#xff08;unittestrequests&#xff09;再到18年自己编写自动化平台&#xff08;后台使用python的flask&#…...

蓝桥杯刷题(二)

蓝桥杯刷题一.空间二.排序三.成绩分析四.蛇形填数五.跑步锻炼&#xff08;较难&#xff09;一.空间 这道题很简单&#xff0c;要弄清单位间的转换和如何输出就可以啦 #include <stdio.h>int main() {printf("%.0f",256/(32/4/2/1024.0000/1024));return 0; }记…...

进程和线程详解

目录 前言&#xff1a; 操作系统定位 并发 并行 并发 进程 描述 PCB 管理 内存管理 进程间通信 线程 小结&#xff1a; 前言&#xff1a; 当一个程序运行起来时&#xff0c;操作系统要为之分配一些资源&#xff0c;这样的运行起来的程序称之为一个进程。为了有效解…...

flex blaze+java通信的例子

步骤&#xff1a; 1&#xff1a;建立java web程序 2&#xff1a; 下载blazeDS包&#xff0c;解压后将WEB-INF下的 flex&#xff0c;lib&#xff0c;web.xml复制到java程序的WEB-INF下 3&#xff1a;打开web.xml文件将以下代码的注释去掉&#xff0c;并修改 <param-value>…...

Allegro如何输出IDF文件操作指导

Allegro如何输出IDF文件操作指导 Allegro支持输出IDF文件,用于导入结构软件中检查和查看,具体操作如下 点击File-export-IDF 会弹出一个对话框,file name type选择IDF 然后点击export,输出IDF文件,文件已经输出 This section is describe what the function allegro h…...

生产工艺审批管理系统java项目开发jsp编程软件myeclipse开发Mysql数据库计算机网页

一、源码特点 JSP 生产工艺审批管理系统 是一套完善的web设计系统&#xff0c;对理解JSP java编程开发语言有帮助&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发&#xff0c;数据库为Mysql&#xff0…...

actionScript 数组去重

public function unique(array:Array):Array { for (var i:int0; i < array.length; i) { for (var j:inti 1; j < array.length; j) { //注意 if (array[i] array[j]) { array.splice(j, 1); j--; } } } return array…...

【C++音视频开发】初级篇 | RGB与YUV

前言 本专栏将不间断更新有关C音视频开发的内容&#xff0c;其中有初级篇、中级篇与高级篇的内容&#xff0c;包括但不限于音视频基础、FFmpeg实战、QT、流媒体客户端、流媒体服务器、WebRTC实战、Android NDK等等。是博主花了将近5000元购买的课程中的知识点&#xff0c;其中…...

WinForm,可能是Windows上手最快的图形框架了

文章目录Label和控件属性按钮和回调逻辑事件常用控件前文提要&#xff1a;超快速成&#xff0c;零基础掌握C#开发中最重要的概念抽丝剥茧&#xff0c;C#面向对象快速上手源码地址&#xff1a;我的第一个WinForm程序 Label和控件属性 WinForm是一门非常经济实惠的技术&#xf…...

Html-文本属性

常用的文本属性 属性描述说明font-size字体大小单位是px&#xff0c;浏览器默认是16px。font-family字体多个字体中间用逗号链接&#xff0c;先解析第1个字体,如果没有解析第2个字体,以此类推color颜色 red;#ff0;rgb(255,0,0); 0-255font-weight加粗 bolder(更粗的&#xff09…...

Dockerfile

Dockerfile指令集 对于Dockerfiel而言&#xff0c;是在学习docker工具里面&#xff0c;最重点的内容&#xff0c;它可以帮助我们生成自己想要的基础镜像。部署一个容器最重要的就是镜像&#xff0c;指令都已经内置好了。 FROM 这个镜像的妈妈是谁&#xff1f;&a…...

数字角频率w、模拟角频率Ω

数字角频率、模拟角频率的 由来 已知有某实际存在的原始 模拟信号&#xff1a; y(t)sin(Ωt)sin(2πft)y(t)sin(Ωt)sin(2\pi ft)y(t)sin(Ωt)sin(2πft) 其中 Ω 为 模拟角频率。以 fsf_sfs​ 的采样频率&#xff08;采样周期 Ts1/fsT_s1/f_sTs​1/fs​&#xff09;对该信号采…...

Java反射04:获取运行时类的属性结构及其内部结构

文章目录获取运行时类的属性结构及其内部结构新建测试类1.获取每一个Field&#xff08;属性&#xff09;2.获取运行时类的方法结构3.获取运行时类的构造器4.获取当前运行时所继承的父类和接口5.获取当前运行时类的注解、包、泛型获取运行时类的属性结构及其内部结构 通过反射获…...

双软企业认定需要什么条件

认定双软企业的好处 1、税收优惠:所得税两免三减半。双软认证企业&#xff0c;自获利年度起&#xff0c;第一年和第二年免征企业所得税&#xff0c;第三年至第五年减半征收企业所得税。 增值税超过3%的部分即征即退。 2、政策支持:各地政府对于科研专项资金、税收减免科技计划、…...