龍?jiān)措娏た卦创a審計(jì)系統(tǒng)取得重大突破

3月4日，國(guó)家能源集團(tuán)龍?jiān)措娏χ心芄拘畔踩珜?shí)驗(yàn)室自主研發(fā)國(guó)產(chǎn)工控系統(tǒng)靜態(tài)源代碼審計(jì)平臺(tái)投入試運(yùn)行。此平臺(tái)針對(duì)程序的安全性、軟件質(zhì)量及程序運(yùn)行效率三大方面進(jìn)行綜合評(píng)估，標(biāo)志著該公司在工控軟件安全領(lǐng)域得到重大突破，填補(bǔ)了行業(yè)空白。

圖為員工進(jìn)行軟件代碼審查分析

工控軟件隨著系統(tǒng)的不斷迭代發(fā)展，程序源代碼的規(guī)模也在不斷的增加，容易被利用的安全漏洞和代碼后門(mén)也不再局限于以往，這使得通過(guò)傳統(tǒng)軟件測(cè)試方法來(lái)檢測(cè)程序中的安全漏洞非常困難。

工控系統(tǒng)靜態(tài)源代碼審計(jì)平臺(tái)通過(guò)在不執(zhí)行工控程序的情況下，以程序源代碼、可執(zhí)行文件序列或高級(jí)語(yǔ)言的中間代碼等為對(duì)象，通過(guò)預(yù)先定義屬性規(guī)約，自動(dòng)地檢查目標(biāo)代碼對(duì)屬性規(guī)約的違反情況，進(jìn)而檢測(cè)目標(biāo)代碼中的缺陷；與以軟件測(cè)試為主要手段的動(dòng)態(tài)缺陷檢測(cè)相比，靜態(tài)分析不需要構(gòu)建測(cè)試環(huán)境、不需要占用測(cè)試資源，并且能夠在軟件測(cè)試開(kāi)發(fā)階段同步檢測(cè)缺陷；在檢測(cè)編碼錯(cuò)誤造成的缺陷方面具有顯著的有效性。

該公司自主研發(fā)的工控系統(tǒng)靜態(tài)源代碼審計(jì)平臺(tái)支持對(duì)java、C、C#、ASP、PHP、JSP、等多種語(yǔ)言的靜態(tài)分析。此平臺(tái)的投入試運(yùn)行，能夠有效地發(fā)現(xiàn)工控軟件在開(kāi)發(fā)過(guò)程中的安全缺陷，節(jié)省開(kāi)發(fā)成本，促進(jìn)行業(yè)網(wǎng)絡(luò)安全朝良好態(tài)勢(shì)發(fā)展，是行業(yè)內(nèi)提升效率、節(jié)省開(kāi)發(fā)成本的重大突破。