近日，云起無垠憑借其在漏洞挖掘、漏洞檢測以及漏洞修復等領域的卓越表現，榮獲“國家信息安全漏洞庫（CNNVD）技術支撐單位等級證書（三級）”，正式成為CNNVD技術支撐單位。

中國國家信息安全漏洞庫（英文簡稱：CNNVD）是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能，負責建設運維的國家信息安全漏洞庫，為我國信息安全保障提供基礎服務。CNNVD為我國重要行業和關鍵基礎設施安全保障工作提供了重要的技術支撐和數據支持，對提升全行業信息安全分析預警能力，提高我國網絡和信息安全保障工作發揮了重要作用。

成為CNNVD技術支撐單位，是中國國家信息安全漏洞庫對云起無垠在漏洞分析和風險評估等方面技術實力的極大認可。云起無垠作為新一代AI賦能軟件供應鏈安全實踐者，成立以來，一直專注于智能模糊測試、程序分析、AIGC等技術的研究與創新，并推出了三款領先產品：無垠智能模糊測試系統（Fuzzing）、無瑕源代碼缺陷分析系統（SAST）以及無塵軟件成分分析系統（SCA）。這些系統為企業提供了卓越的漏洞分析和評估能力，幫助企業在軟件研發、測試的早期階段進行安全漏洞檢測和分析，讓業務系統安全上線。其中，云起無垠的技術在漏洞分析和漏洞評估中的應用如下。

• 在漏洞分析中，靜態應用程序安全測試工具（SAST）通過分析源代碼、字節碼或二進制代碼，專注于檢查應用程序在設計和實現層面上的安全問題。與實際運行應用程序不同，SAST關注代碼本身的結構、邏輯和數據流。另一方面，軟件成分分析工具（SCA）通過掃描應用程序的依賴項，檢查第三方組件和開源庫是否存在已知漏洞。通過將掃描結果與漏洞數據庫進行比較，SCA能夠標識出已知的安全問題，提供對應用程序整體安全性的評估。為了進一步提高漏洞發現的全面性，模糊測試被引入到漏洞分析中。基于SAST和SCA的分析和檢查結果，模糊測試生成模糊測試用例，重點覆蓋關鍵代碼路徑和輸入驗證邏輯。這些測試用例被注入到應用程序中，通過監視應用程序的響應，能夠發現可能存在的動態漏洞。在漏洞驗證和修復建議階段，模糊測試發揮著關鍵作用。通過驗證SAST和SCA標識出的漏洞的真實性和可利用性，模糊測試幫助確認這些漏洞是否能夠在實際運行中被成功利用。對于驗證通過的漏洞，生成的修復建議被整合到漏洞報告中，可以幫助開發人員進行針對性的漏洞修復。這種融合方法充分發揮了靜態和動態分析的優勢，為漏洞分析提供了多層次的保障，從而全面提升應用程序的安全性。

• 在漏洞評估中，模糊測試通過模擬真實的攻擊場景和不斷演變的威脅，為漏洞評估提供了一種強大而全面的方法。它能夠發現未知漏洞、拓展攻擊面、強調邊界條件，同時通過動態分析驗證漏洞的真實性，從而為應用程序的安全性提供更全面的保障。

截至目前，云起無垠已經為軍隊/軍工、能源、政企、檢驗檢測機構、智能車企等眾多行業客戶提供產品和服務，成功幫助客戶解決了應用系統中存在的安全漏洞問題。

未來，云起無垠將持續深耕漏洞挖掘與修復領域，構建更完善的漏洞分析和評估能力，以應對不斷演變的網絡安全挑戰；同時幫助企業解決業務系統上線前的安全漏洞，努力為企業提供全方位的安全保障，為我國家關鍵基礎設施筑牢網絡安全屏障。