摘要：近日，工信部公布了《2024年网络安全技术应用典型案例拟支持项目名单》。经过工信部、网信办等十四部门的联合遴选评审，由开源网安联合中国移动通信集团黑龙江有限公司、黑龙江深哈协同创新企业服务有限公司共同申报的“软件供应链安全检测平台”项目顺利入选，成为名单中唯一

本次评选是根据《工业和信息化部等十四部门办公厅（办公室、秘书局、综合司）关于开展网络安全技术应用试点示范工作的通知》（工信厅联网安函〔2023〕360号）的部署安排，由工业和信息化部会同国家互联网信息办公室、人力资源社会保障部、水利部、国家卫生健康委员会、应急管理部、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家广播电视总局、国家数据局、国家铁路局、中国民用航空局、国家邮政局组织开展的2024年网络安全技术应用典型案例遴选评审工作。评选涵盖了数据安全、威胁情报、云安全、态势感知、人工智能等十几个网络安全技术领域，预示着网络安全技术领域在未来将进一步复杂多样化，以及政策的监管要求也将不断加强。

软件供应链安全检测平台项目

为应对日益复杂的软件供应链安全挑战，以及国家对关键信息基础设施保护提出的高标准要求，开源网安联合黑龙江移动共同研究解决软件开发及软件供应链活动中普遍存在的安全问题，双方通过深度合作，打造了基于人工智能的软件供应链安全检测平台，在行业内具有较高的示范推广价值，为提升软件供应链的安全性树立了新的标杆。

该平台运用人工智能技术进行动态漏洞检测、静态代码分析和软件组件分析，以及通过数据分析算法对软件供应链数据进行挖掘和分析，识别潜在的安全威胁和异常行为，提升软件供应链的攻防能力，通过技术创新和研发来预防和遏制各类威胁和风险，同时提升软件供应链的安全管理和运营能力。

8大创新点

1. 基于机器学习的智能化漏洞评分技术。通过数据收集与预处理、特征选择与表示、模型训练与优化等步骤，利用机器学习算法自动对软件资产中的漏洞进行评分，并能根据不同环境调整评分标准，帮助安全团队快速制定修复优先级策略。

2.利用BUG跟踪数据以及机器学习实现漏洞自动化管理。通过整合BUG跟踪数据，使用机器学习算法预测新漏洞的严重性、修复所需时间或是否容易被利用等信息。不仅实现了自动化决策（如确定优先级），还提供了持续监控与反馈循环机制来改进模型性能，提高了漏洞管理效率。

3.基于深度学习构建依赖网络模型实现对资产风险进行推断的技术。使用深度学习方法分析软件供应链中的依赖关系，以构建依赖网络模型。这样的模型可以帮助识别潜在的风险路径，从而提前预警并采取措施减轻风险。

4.利用机器学习规范开发过程中的不安全编码行为的技术。在编码阶段就识别和预防不安全的编码行为，通过学习已知漏洞代码片段的方式提高漏洞检测的准确性，并为安全编码实践提供支持，帮助开发团队减少漏洞修复成本，提升软件安全性。

5.基于静态应用安全测试工具的漏洞自动化修复技术。基于SAST工具自动生成针对每个检测到的漏洞的修复方案，提高了漏洞修复的速度和质量，保证了修复建议具有针对性和易于理解，有助于增强应用程序的安全性。

6.基于代码溯源以及函数调用链关系分析的漏洞可达性探测技术。通过分析代码结构（例如函数调用链）来判断某个特定漏洞是否可以在实际运行时被触发。这种分析有助于确定哪些漏洞真正构成威胁，进而指导修复工作的优先级。

7.基于反汇编函数HASH匹配算法的PE文件开源组件成分分析技术。通过对可移植执行体文件进行反汇编，然后使用哈希匹配算法识别其中包含的开源组件，有助于了解软件产品中使用的第三方库及其版本，以便及时更新含有已知漏洞的组件。

8.基于文件特征向量相似性算法的移动应用开源组件成分分析技术。对于移动应用程序而言，此技术可对文件特征向量，诸如文件结构、API调用模式等等展开比较，以此精准识别应用程序里所涵盖的开源组件。这对于保障移动应用的安全性与合规性起着极为关键的作用，尤其是在涉及第三方库的情况下，其重要性更是不言而喻。

该项目对于黑龙江移动而言，在数字化转型的关键时刻，不仅为企业的数据与系统安全提供了坚实保障，更通过精准、高效的机制，提前发现并有效防范潜藏于软件供应链中的各类漏洞与风险。帮助黑龙江移动有效降低因安全漏洞引发的潜在损失与风险，为其业务稳定发展奠定坚实基础，提升网络安全防护能力，强化其在市场中的竞争优势，为企业长远发展注入强劲动力。

本次“软件供应链安全检测平台”项目成功入选《2024年网络安全技术应用典型案例拟支持项目名单》意味着该项目在全国范围内具有示范引领作用，将为行业内外提供宝贵的经验借鉴和技术参考，推动整个通信行业乃至更广泛领域的网络安全技术发展和创新。这不仅是对开源网安长期深耕于软件研发安全和软件供应链安全领域的认可，更树立了行业内国家级软件供应链安全案例标杆典范，引领行业迈向更高安全标准与创新高度。

来源：开源网安