记者|周琦
编辑|姜玉平
(资料图片仅供参考)
给生活带来便利的软件,也因自身的缺陷而导致悲剧或经济损失。
1996年阿丽亚娜5火箭发射后解体,近期新能源汽车刹车失灵,都是软件缺陷造成的。
2022年国内智能汽车行业召回车辆的原因中,软件缺陷占比超过50%。
在系统上线之前,测试人员会进行全面的测试,但思维定势会忽略“打牌无常”的情况。例如,在中国银行的“原油宝”事件中,原油价格跌至负数,这几乎是事先无法想象的。
安板科技提供的智能模糊测试工具解决了此类问题。
测试基于软件的内部结构和路径,智能生成大量意外输入,观察软件是否会导致系统崩溃、断言失败等异常。
换句话说,就是通过机器自动编写各种常见或罕见的测试用例来检测软件缺陷和漏洞。
技术突破
Fuzzing并不新鲜,但技术突破只有几年的历史。
目前软件测试以人工为主,静态分析工具辅助,通过漏洞规则进行模式匹配。只能发现已知漏洞,误报率高,对于复杂的逻辑代码场景和未知缺陷无能为力。
传统的fuzzing类似于猴子打字,随机进入用例,可以发现一些未知的缺陷,但仍然难以完全测试一些深度路径。
随着软件规模和复杂性的快速增加,整体代码量以每年1110亿行的速度增长。以ICV为例,代码行数已经达到3亿到4亿行,未来几年很有可能突破10亿行。
传统的手动编写测试用例等测试方法已经不能满足各行各业对软件安全性和健壮性的要求。
“我希望通过智能模糊测试,尽量避免软件质量问题带来的安全稳定性问题,同时节省人工成本。”安板科技创始人王毅告诉《21CBR》记者。
2018年,安板科技基于前一阶段积累的程序分析技术,完成了模糊测试系统的原型,两年后推出了亿恒智能模糊测试系统。
它如何参与软件生命周期?
在开发阶段,亿恒集成CI工具(用于执行自动化任务的工具),根据软件的构思和设计,通过虚拟化技术/全数字仿真,构建与真实硬件一致的环境,解决代码调试问题开发过程;
在测试阶段,智能模糊测试系统为单元测试和集成测试提供负测试支持,有效消除产品存在的缺陷和风险;
在验证阶段,结合虚拟化技术/全数字仿真,免去繁琐的硬件环境搭建和验证动作,保证硬件环境的稳定性,有效避免硬件环境问题导致的错误结论。
亿恒还可以准确定位故障位置,详细显示故障信息。故障修复后,可快速重现故障场景,帮助开发人员高效准确修复。某鑫创企业利用安板科技的这套系统,在单元测试和集成测试层面进行模糊测试,通过动态运行发现导致程序崩溃的各种问题,并将亿恒集成到DevOps(流程、方法、系统统称)平台中,实现全自动模糊测试并提高测试覆盖率。
填补空缺
王毅是95后,但安板科技已经是他的第七次创业了。
进入信息安全赛道的想法最早是在大学时期产生的。“那个时候,网购还有很多不智能化的地方。
”王毅回忆说,快递员每天都要手动发送大量短信。为此,他制作了一款名为“Arrived”的软件,精准推送快递信息。
在运行过程中,软件经常受到各种网络威胁,包括竞争对手的恶意攻击和“脚本小子”的全网扫描。
之后,他在区块链和量化金融业务中遇到了各种信息安全问题。
2016年,王毅开始在上海科技大学从事信息安全领域的研究。期间,他发现国内外在信息安全领域的产品和技术能力存在较大差距。
2018年,结合创业路上遇到的信息安全问题,王毅创立了安板科技,专门为中小企业开发安全解决方案。
起初,他将产品定位在传统信息安全领域,但随着市场调研的深入,他发现传统信息安全市场并非由产品驱动,而是更倾向于合规检查。
2019年底,在与中国信息安全评估中心合作的过程中,王毅发现,我国新创产业发展迅速,软件安全被列为关键岗位。“过去中国人使用Windows和Oracle时,只需要注意边界保护。现在他们独立开发软件,软件本身的安全性和可靠性变得尤为关键。”
尤其是涉及国防和基础设施建设的行业,要在重点领域使用国产软件,保证国产软件的绝对安全。修炼的难度可想而知。
2021年,看到金融业受到供应链的冲击,无人车频频坠毁,王毅意识到,整个软件质量体系生态无法通过一个具体的项目进行改造,下定决心要做标准化产品。“我们在以模糊测试为核心的整个软件过程的负测试系统上花费了更多的精力。
”
针对军工、新创、金融、汽车等行业,安办推出了四大测试系统产品——易检测协议Fuzzing系统、EasyCheckWeb/APIFuzz测试系统、易识别固件供应链安全管理系统、SCA源码组件分析系统。
“我们之前统计过一个程序,如果靠人工测试,5个人需要将近20天,代码覆盖率不到40%;借助Anban工具,只需要5个小时就可以达到95%综合。覆盖,发现300多个bug。”王毅强调。
加速着陆
技术的商业化具有挑战性。王毅遇到的第一个问题就是产品适配。产品实际上线时,他发现用户的软件环境“怪异”。嵌入式环境没有操作系统,甚至没有单片机,很难通过“标准化”来适应。
王毅介绍了全数字仿真系统——将被测对象放入仿真环境进行智能模糊测试。对于一些没有源码的软件,安板科技开发了协议模糊测试系统进行黑盒测试。
去年,安板科技营收突破1000万,今年预计将突破4000万。
在王毅看来,得益于软件开发的快速增长,智能模糊测试已经进入了大规模应用阶段。
安板科技也受到了很多资本的关注。
2022年8月,安板科技宣布完成超亿元A轮融资,由矽港资本、上海东方证券创新投资有限公司共同领投,铭传资本、中南资本跟投。
接下来,王毅有两大计划。
一是让智能模糊测试民主化,让安全类工具真正嵌入软件公司的开发、测试和验收环节。
“我们在金融和汽车行业投入了更多的精力,未来会扩展到更多的行业和领域。”王毅透露。
除了扩大应用的宽度,他还希望让受众辐射到更多的中小企业。“未来将推出相应的SaaS产品,让中小客户花1000元做一次智能模糊测试,提升软件质量和开发效率。”
王毅坦言,软件安全问题不可能全部解决。安板科技的目标是美国软件公司“Synopsys”。这家公司花了10年时间收购了20多家公司,构建了软件安全链中的一些关键环节。
他希望以生态联盟的形式,在中国打造一条自主可控的供应链。“行业内的每家公司都可以解决不同的问题,只有整合各个环节,才能共同构建完整的软件安全链。
”