中国电力网讯 日前,北京市科学技术奖评选工作结束,七〇六所航天中认软件测评科技(北京)有限责任公司与北京大学联合申报的“大规模跨语言代码安全检测技术及应用”项目,作为国内首个自主掌握代码安全检测领域创新成果,荣获2020年度北京市科学技术进步二等奖。航天中认技术攻关团队在软件代码安全检测技术基础上,主要承担了面向航空航天等多个领域的定制开发,并在军用装备、轨道交通、电力能源等领域开展关键系统测评服务。
此次荣获北京市科学技术进步二等奖,依托了航天中认多年在航天领域测试实践中的技术能力和创新能力。本次项目开展过程中项目攻关团队从大规模程序分析关键技术攻关、重大工程任务试点、代码安全质量保障等方面均获得显著成果。
瞄准“卡脖子”关键技术
建立自主掌握的软件质量及安全保障体系
软件代码安全检测技术是保障软件安全的重要手段,传统的代码分析技术,在进行大规模代码检测时会发生状态爆炸,在计算资源和计算效率的约束下,分析精度受到严重制约,导致软件风险难以有效控制。软件安全检测技术已经成为影响我国软件质量和安全的关键技术。针对大规模程序分析状态爆炸的根本性计算难题,项目攻关团队提出了基于程序复杂度的自适应分析方法,实现了检测精度和效率的有机平衡,检测效率达到150万行代码每小时,误漏报率控制在30%以下。形成了具有自主知识产权、独具特色的技术体系,技术成果在检测效率和精度等方面达到国际先进水平。
为多项国家重大工程保驾护航
通过多年的技术深耕,航天中认已将该项技术成果成功应用于多项重大工程任务中,在航空航天、军工、金融、电信等领域得到广泛应用,发现了超过39万个缺陷漏洞,缺陷密度为平均6.98个/千行,预计节约总成本为19.6亿元。航天中认团队聚焦软件代码安全检测技术在航空航天领域的漏洞挖掘,持续开展深入研究,解决了航天软件静态代码分析技术固有的高误报缺陷的问题,设计了基于动静结合的缺陷自动验证机制,构建了基于跨模态多粒度代码语义表示的缺陷自动分类模型。该成果已获得5项授权发明专利、18项软件著作权,发表论文40余篇。
解决代码安全质量保障关键问题
本次项目研发成果增强了国内软件安全服务的硬实力,已成为软件产业链的重要组成部分,服务于软件开发、系统验证和漏洞发现利用。经比较分析,整体检测能力达到了国际先进水平,具有显著的经济、社会效益和推广价值,航天中认已利用大规模跨语言代码安全检测技术,为航空航天、 船舶、兵器、电子、核能、电信、电力、轨道交通、互联网、金融、政府等多个安全关键领域提供质量保障。
本项目解决的软件代码安全检测关键技术,为构建我国自主掌握的安全检测生态系统,提供了有力保障。今后航天中认将持续加强在多领域的专业测评技术研究、以及相应的技术和手段创新工作,为构建自主、安全、可控的测评验证环境不断努力。
评论