NEC 通过对可执行文件进行静态分析来检测软件漏洞，从而加强供应链安全

东京，7 年 2024 月 XNUMX 日 – (JCN 新闻专线) – NEC公司 （TSE：6701）开发了一种技术，通过从可执行文件的二进制代码（1）检测软件中的漏洞来增强供应链的安全性，而无需源代码。该技术将以前必须由专家完成的无法获得源代码的软件的部分静态分析自动化，从而将静态分析时间减少了40%。

背景

近年来，由于数字化转型（DX）和全球化，各行业的供应链不断扩大并变得更加复杂。在这种情况下，人们越来越担心针对供应链中的漏洞和恶意功能的网络攻击，这使得确保整个供应链的软件安全成为一个紧迫的问题。特别是，政府机构和关键基础设施提供商在根据修订后的法律法规采购和安装产品和系统时，需要采取措施防止后门和其他恶意功能被引入其产品和系统。这项新开发的技术将增强NEC 的风险追踪服务(2)，其中安全专家(*3) 对客户的软件和系统进行安全风险评估，同时考虑对其业务的影响。

技术概览

虽然一般技术用于软件目标源代码的静态分析，但该技术对二进制代码（软件的可执行形式）执行静态分析。特别是，它跟踪软件中的哪些进程使用外部数据，并检测可疑的实现，这些实现可能是能够影响敏感进程（例如命令执行）的控制的后门。

技术特点

1. 没有源代码的软件可以检查

过去，一些软件无法获得源代码，在这种情况下，检查软件安全性的手段很有限，例如专家的手动检查。由于该技术可以检查二进制代码，因此可以检查无法获得源代码的软件的安全性。

2. 解决建筑环境（*4）污染问题

过去，即使源代码可用（例如内部开发的软件），也很难检测构建过程中引入的漏洞和恶意功能。由于该技术在构建后检查二进制代码，因此可以检查安全性，包括由构建环境引起的问题。

3. 实现检查质量的统一

过去，检查软件（尤其是二进制格式的软件）很困难，并且检查质量往往会根据检查员的技能而变化。该技术实现了部分检测过程的自动化，从而减少了对人力资源的需求，并保证了一定水平的检测质量。它还可以用证据向第三方（例如监管机构和股东）解释公司系统的安全性。此外，部分检查的自动化预计将使静态分析所需的时间减少40%。NEC计划在2024财年年底前将该技术应用于风险追踪服务。这将加强对供应链采购和交付的软件的安全检查，有助于构建更安全的系统，加强供应链安全。

(1)仅用0和1的二进制数表示的数据，以便计算机可以直接处理。
(2) 风险追踪服务（仅限日语）https://jpn.nec.com/cybersecurity/service/professional/risk_hunting/index.html
(3) 安全专家（仅限日语）https://jpn.nec.com/cybersecurity/advantage/specialist/profile2-2.html
(4) 转换用编程语言编写的源代码并生成用二进制代码编写的可执行文件的环境。分享

关于NEC公司

NEC Corporation已确立了自己在IT和网络技术集成方面的领导者的地位，同时宣传了“编排更美好世界”的品牌主张。 NEC通过提供安全性，安全性，公平性和效率的社会价值，促进企业和社区适应社会和市场中发生的快速变化，从而促进一个更加可持续的世界，每个人都有机会发挥自己的全部潜力。 有关更多信息，请访问NEC，网址为： https://www.nec.com.

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.jcnnewswire.com/pressrelease/88888/3/