首批！无垠代码模糊测试系统通过中国信通院模糊测试能力评估

以下内容来源于：云计算开源产业联盟

近日，云起无垠无垠代码模糊测试系统参与了中国信通院《模糊测试架构能力要求》标准评估。经过中国信通院的检验，无垠代码模糊测试系统高分通过了《模糊测试架构能力要求》的指标检验，具体评估等级将于 2023 年 7 月可信云大会公布。

图 1 《模糊测试架构能力要求》框架

《模糊测试架构能力要求》为了以更标准的形式来验证模糊测试产品的安全能力，其标准规范了黑盒、灰盒模糊测试的平台能力及引擎能力，共包含了 4 个能力域、28 个能力项、246 个能力指标，提供了模糊测试平台能力建设的全方针指导。根据模糊测试平台在不同能力域的综合表现，分为基础级、增强级、先进级 3 个能力等级。经过评估验证，最终获得能力评级。

无垠代码模糊测试系统能力介绍

软件是新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。目前，我国软件和信息技术服务业产业规模效益快速增长，软件和信息技术服务业创新体系基本建立，推动新技术、新产品、新模式、新业态快速发展，促进生活方式、生产方式、社会治理加速变革。然而，随着软件总体数量的提升，软件质量事故仍不断涌现。

作为新一代的智能模糊测试领跑者，云起无垠自成立以来始终专注于模糊测试技术的研发和创新，并以此为核心，构建了一系列基于模糊测试的产品和服务，致力于在各种场景下协助企业解决安全漏洞挖掘的问题，为企业带来更完善、更安全的产品服务体验。

图 2 产品服务矩阵

1.技术创新：AIGC 赋能智能模糊测试

GPT 大模型的高速发展，已对各行业的生产范式造成了颠覆性的影响。作为新一代智能模糊测试领跑者，云起无垠率先将 AIGC 模式融入产品，赋能软件开发阶段，在测试样例自动化生成与漏洞自动化修复工作中均有显著成效。

1

安全漏洞检测：AIGC 融入智能模糊测试之后，可针对特定的输入类型、未知缺陷漏洞进一步优化测试样例的生成过程，极大提高了测试样例的质量和生成效率。而且，基于覆盖引导等技术，可以针对性地对应用程序进行定向检测，深度探索代码边界，有效检测已知与未知威胁。

2

安全漏洞修复：智能代码模糊测试可精准定位存在缺陷的代码片段，并对漏洞的成因进行复现。通过采用 AIGC 的模式，将错误代码片段等检测结果作为缺陷修复模型的输入，可自动生成修复后的代码。这种方式大幅度提高了缺陷修复效率，降低了缺陷修复的技术门槛。

总的来说，通过将模糊测试与 AIGC 深度融合，使云起无垠智能模糊测试解决方案在自动化程度、测试深度、测试效率、缺陷修复等维度取得了极大的能力提升，开启了智能安全检测新篇章。

2.云起无垠产品服务矩阵

无垠代码模糊测试系统

云起无垠基于智能模糊测试技术，融合 GPT 大模型，在变异算法、遗传算法、覆盖引导等众多技术基础之上研发设计了无垠代码模糊测试系统。无垠代码模糊测试系统可应用于开发、测试、集成等环节，针对源代码/二进制文件进行安全检测，相比传统检测工具的自动化安全检测方式，不仅可以高效地对“已知和未知”漏洞进行挖掘和检测分析，还融合了 AIGC 模式，可自动化地生成修复方案与修正后的安全代码片段，大幅缩减了缺陷修复时间，降低了人工修复成本。

目前，支持独立测试模式和 CI/CD 集成模式。

图 3 独立测试模式

图 4 CI/CD 集成模式

相比传统安全检测工具，无垠代码模糊测试系统具有四大优势：

1

检测零误报、漏洞可复现

基于动态执行的测试方法，确保所有检出缺陷，可定位、可复现、可验证，且误报率趋近于零。

2

测试粒度更细、覆盖场景更全

基于 AIGC 的智能模糊测试，在样例生成阶段依托 AI 遗传变异算法与覆盖引导等技术，可自动生成海量（亿级）高质量测试用例，整体粒度会更细，测试点更多，判断位置也会更精准，显著提升了测试效果与覆盖率。该方案不仅可以应用于 Web 应用检测，还可用于协议、操作系统、数据库等测试粒度要求更高的检测场景。

3

精准检测未知漏洞

通过使用 AIGC 生成各种类型畸变测试数据，可以增加 Fuzzing 测试的多样性和复杂性，从而发现更多类型缺陷与未知 0day 漏洞。例如，通过生成包含特殊字符或嵌入式命令的字符串，可以测试程序对于不同输入数据的容错性和安全性。

4

大幅降低漏洞修复成本

通过将 AIGC 与模糊测试相结合，可以更快地生成漏洞修复建议，进一步提高漏洞修复的效率；而且，融合 AIGC 的模糊测试可实现漏洞自动化挖掘与修复的全流程闭环，大幅提升测试人员的工作效率，从而节省修复成本。

无垠协议模糊测试系统

无垠协议模糊测试系统是云起无垠自主研发的黑盒协议模糊测试系统，通过向目标提供非预期的输入并监视异常结果，自动化检测系统缺陷并验证协议功能，从源头助力企业实现自动化安全检测，提升协议应用的安全性与健壮性。

图 5 协议模糊测试应用场景

精准、智能、无侵入的产品优势如下：

1

丰富的协议支持

覆盖近百种主流网络协议，支持创建自定义协议模型；

2

全自动安全检测

测试用例自动生成，测试策略自动优化，检出漏洞自动验证；

3

未知问题，提前防御

海量变异测试用例，支持检测已知漏洞，善于发现未知漏洞；

4

丰富的检测报告

提供准确报告，包含故障分类、修复建议、漏洞详情等关键信息；

5

消除检测误报噪音

模拟程序真实运行环境，确保所有检出缺陷可复现、0 误报；

6

无侵入

采用黑盒检测方式，不侵入系统或工程代码，发现深层漏洞；

智能模糊测试服务

依托服务团队十余年安全行业的经验积累，云起无垠为企业带来了创新性的智能模糊测试服务，其中涵盖物联网/IOT 类安全测试服务、车载设备/车联网安全检测、服务组件类安全检测及定向漏洞挖掘服务，帮助企业构筑更完善的安全防线，提供更全面的安全解决方案。

图 6 模糊测试服务

模糊测试服务优势包括如下：

1

多领域专业服务：云起无垠在网络安全、物联网/IoT、云计算、大数据和区块链等领域的专业团队为客户提供优质的技术服务。

2

丰富的专家经验：云起无垠的专家团队凭借丰富的实战经验，可快速理解并定位客户的核心需求，降低沟通成本，并为客户提供量身定制化的解决方案。

3

先进的技术手段：云起无垠的安全专家曾多次在国际顶尖的信息安全大赛获奖，多次在全球知名公开会议上发表议题，技术水平在行业内处于尖端位置。

4

严格的质量控制：云起无垠安全服务建立了完善的质量控制体系，从项目启动、需求分析、开发、交付、维护等环节都有一套完整的质量控制方案，项目经理全程跟进，以确保客户的每一个项目均能按时、高质量、高标准完成。

作为一种先进的漏洞挖掘与稳定性检测手段，模糊测试技术的探索仍在继续。接下来，云起无垠将依托信通院模糊测试架构能力要求标准，继续深耕模糊测试技术，构建更完善的产品服务矩阵，并致力于软件开发安全和软件质量的提升，为客户提供符合行业标准、使用场景的解决方案，共同推动以模糊测试为代表的系统稳定性技术理念落地，填补技术理论与实践的鸿沟。

转载：信通院