喜讯！云起无垠成为国家信息安全漏洞库（CNNVD）技术支撑单位

近日，云起无垠凭借其在漏洞挖掘、漏洞检测以及漏洞修复等领域的卓越表现，荣获“国家信息安全漏洞库（CNNVD）技术支撑单位等级证书（三级）”，正式成为 CNNVD 技术支撑单位。

中国国家信息安全漏洞库（英文简称：CNNVD）是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。CNNVD 为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持，对提升全行业信息安全分析预警能力，提高我国网络和信息安全保障工作发挥了重要作用。

成为 CNNVD 技术支撑单位，是中国国家信息安全漏洞库对云起无垠在漏洞分析和风险评估等方面技术实力的极大认可。云起无垠作为新一代 AI 赋能软件供应链安全实践者，成立以来，一直专注于智能模糊测试、程序分析、AIGC 等技术的研究与创新，并推出了三款领先产品：无垠智能模糊测试系统（Fuzzing）、无瑕源代码缺陷分析系统（SAST）以及无尘软件成分分析系统（SCA）。这些系统为企业提供了卓越的漏洞分析和评估能力，帮助企业在软件研发、测试的早期阶段进行安全漏洞检测和分析，让业务系统安全上线。其中，云起无垠的技术在漏洞分析和漏洞评估中的应用如下。

• 在漏洞分析中，静态应用程序安全测试工具（SAST）通过分析源代码、字节码或二进制代码，专注于检查应用程序在设计和实现层面上的安全问题。与实际运行应用程序不同，SAST 关注代码本身的结构、逻辑和数据流。另一方面，软件成分分析工具（SCA）通过扫描应用程序的依赖项，检查第三方组件和开源库是否存在已知漏洞。通过将扫描结果与漏洞数据库进行比较，SCA 能够标识出已知的安全问题，提供对应用程序整体安全性的评估。为了进一步提高漏洞发现的全面性，模糊测试被引入到漏洞分析中。基于 SAST 和 SCA 的分析和检查结果，模糊测试生成模糊测试用例，重点覆盖关键代码路径和输入验证逻辑。这些测试用例被注入到应用程序中，通过监视应用程序的响应，能够发现可能存在的动态漏洞。在漏洞验证和修复建议阶段，模糊测试发挥着关键作用。通过验证 SAST 和 SCA 标识出的漏洞的真实性和可利用性，模糊测试帮助确认这些漏洞是否能够在实际运行中被成功利用。对于验证通过的漏洞，生成的修复建议被整合到漏洞报告中，可以帮助开发人员进行针对性的漏洞修复。这种融合方法充分发挥了静态和动态分析的优势，为漏洞分析提供了多层次的保障，从而全面提升应用程序的安全性。

• 在漏洞评估中，模糊测试通过模拟真实的攻击场景和不断演变的威胁，为漏洞评估提供了一种强大而全面的方法。它能够发现未知漏洞、拓展攻击面、强调边界条件，同时通过动态分析验证漏洞的真实性，从而为应用程序的安全性提供更全面的保障。

截至目前，云起无垠已经为军队/军工、能源、政企、检验检测机构、智能车企等众多行业客户提供产品和服务，成功帮助客户解决了应用系统中存在的安全漏洞问题。

未来，云起无垠将持续深耕漏洞挖掘与修复领域，构建更完善的漏洞分析和评估能力，以应对不断演变的网络安全挑战；同时帮助企业解决业务系统上线前的安全漏洞，努力为企业提供全方位的安全保障，为我国家关键基础设施筑牢网络安全屏障。