自主可控—保障软件供应链安全的“重中之重”

近日人民 发布了一篇由中科院院士撰写的文章《自主可控方得 络安全（大家手笔）》，其中明确的提到“为了保障 络安全，必须实现技术、产品、服务、系统的自主可控，需要在质量测评、安全测评的基础上增加自主可控测评。”

（部分原文）

络安全是国家安全的重要基础，也是经济安全、 会安全、民生安全的重要保障。 络安全属于非传统安全，其内涵比传统安全的内涵更加广泛。国家 信办公布的《 络产品和服务安全审查办法(试行)》把 络安全审查分成“安全性”审查和“可控性”审查，其中的安全性审查与传统安全的要求相类似，而可控性审查在传统安全中强调得比较少，但同样需要不断健全和完善。

当前，我国 信领域要求采用自主可控技术、产品、服务、系统的呼声越来越高，这里的“自主可控”强调的就是可控性。自主可控是实现 络安全的前提，是一个必要条件，但并不是充分条件。换言之，采用自主可控的技术不等于实现了 络安全，但没有采用自主可控的技术一定不安全。因此，为了实现 络安全，首先要实现自主可控，再实现传统意义上的安全，最终再结合其他各种安全措施，达到保障 络安全的目标。

背景及工具

随着各行业对 络安全的需求日益迫切，各重要系统对软件代码安全保障的需求不断增加，软件代码安全产业和软件供应链安全已成为强国建设的基础保障。

CoBOT是由北京北大软件工程股份有限公司和北京大学软件工程国家工程研究中心联合自主研发的一种C / C++ / JAVA / VB.net / C#.net / Scala / Groovy / Kotlin源代码缺陷检测工具，实现以先进科技、智能软件安全检测为中枢的测试手段，助力软件源代码安全检测实施及工作的开展，加强对软件产品质量监督检验的力度，夯实软件产品安全检测能力，保障软件产品及系统运行安全，从而为软件产业技术、质量提供全面有力的保障。

自主知识产权

自主研发，安全可控，支持国产化环境

支持国际国内标准

?支持运行时缺陷集 CWE 标准

?支持安全漏洞集OWASP

?支持GJB-5369规则集、GJB-8114规则集

MISRA-2004规则集、MISRA-2008规则集、MISRA-2012规则集

CERT-C规则集、CERT-JAVA规则集、ISO-17961规则集

支持多种检测方式

?支持源代码直接检测（片段代码、无需编译环境）即编译不通过检测

?支持跟踪编译检测（编译通过检测、需编译环境）

?支持持续集成检测（Jenkins集成自动化检测）

?支持微服务集群检测（云测试检测）

支持国产化环境

全面支持国产化信息环境，如中标麒麟操作系统、金山WPS等

操作便捷免配置

全中文向导式界面，免环境配置

代码一键检测、缺陷精确定位、错误分析及正确示例

自动生成函数控制流图

自动生成文件函数调用图

自动生成项目函数调用图

自动进行代码克隆分析

支持代码行数、函数扇入扇出、函数行数、圈复杂度、循环数目、循环嵌套深度、注释率等37种代码静态度量元，协助您分析代码的可维护性以及可测试性

快速贴心的服务支持

?提供丰富的SDK开发包，如程序切片开发包、区间分析开发包、约束求解开发包、抽象语法树开发包、变量Binding分析开发包、控制流分析开发包、调用分析开发包、值依赖分析开发包、控制依赖分析开发包……

?提供专属您的“量身定制”各类编码规则、语义缺陷、 表、文档

产学研结合，业界顶级专家，北大团队，快速响应

关键词：库博丨 络安全丨C/C++/JAVA程序静态分析丨北大软件