库博软件安全系列产品介绍

库博软件安全系列产品是由北京北大软件工程股份有限公司联合北京大学软件工程国家工程研究中心，经过10年的科技攻关和工程化开发，目前已经形成比较完整的软件安全产品链条，包括库博软件源代码静态分析工具、二进制代码静态分析工具、软件成分分析与同源漏洞检测工具、软件供应链安全监控平台。

在上述技术研究和工具研发过程中，团队承担和参与了国家重点研发计划项目 2 项、工信部创新发展工程项目 1 项、国家保密局课题1 项、军委科技委课题 2 项；申请并获得 20 多项发明专利；先后荣获 2018 年第 46 届日内瓦国际发明展金奖，2018 年阿里软件供应链安全比赛第一名，2020 年北京市科技进步二等奖等荣誉，2024年荣获信通院自主研发创新成果奖。

库博软件安全系列产品的定位是要全生命周期对软件进行保护。

​
以下对库博软件安全系列产品分别进行介绍：

1、库博静态代码分析工具（CoBOT SAST）

库博静态代码分析工具（英文简称CoBOT SAST）应用多种国际先进代码分析、深度学习技术研发的源代码检测系统，将源代码检测融入企业的研发流程，实现了源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、逆向架构图自动生成，并提供了检测器自主研发接口等功能，帮助组织快速构建源代码安全自主检测体系和能力。

CoBOT SAST支持C/C++、Java、Python、C#、Objective-C、Ruby、Cobol等20多种语言的检测；支持GJB 5369、GJB 8114、MISRA 2004/2008/2012/2023、CERT JAVA、GB/T 34943/34944/39412等检测标准；支持包括注入、资源泄露、缓冲区溢出等多条检测规则。

CoBOT SAST可以在软件开发阶段就发现潜在的安全问题，从而提高软件供应链的安全性，减少在软件生命周期的后期阶段发现漏洞所带来的成本和风险。

2015年，CoBOT SAST通过CWE符合性认证，成为中国首家通过该认证的软件安全检测工具，打破了国外产品在软件缺陷检测和安全漏洞分析领域的垄断地位，推动了国内软件代码安全检测行业的发展。

2、库博软件成分分析与同源漏洞检测工具（CoBOT SCA）

库博软件成分分析与同源漏洞检测工具（英文简称CoBOT SCA），是基于代码大数据、相似哈希等技术，研发的新一代代码同源分析系统，将代码及二进制程序的第三方库检测融入企业的研发流程，实现了软件成分分析、自主研发率分析、两两对比分析、成分中的已知漏洞分析及评估、许可证分析、漏洞范围影响分析等功能，帮助组织快速构建代码安全保障体系。

CoBOT SCA采集和分析了来自GitHub、openEuler社区、龙蜥社区等开源项目等主流开源网站，存储超大量开源软件的代码版本库；包含CVE、CNVD、CNNVD等著名漏洞库，除了源代码同源组件分析，还支持二进制同源检测分析。

CoBOT SCA是确保软件供应链安全的重要工具，可以帮助开发团队管理使用的第三方开源代码及第三方组件依赖关系，识别和处理潜在的安全问题，提高整体软件安全性，并维护供应链的透明性和稳定性。

2019年,CoBOT SCA正式对外发布。该工具首次打破国外工具在中国市场的长期垄断，为软件企业和组织提供软件成分分析和安全漏洞检测。

在软件供应链安全中，通过使用库博静态代码分析工具（CoBOT SAST）和库博软件成分分析与同源漏洞检测工具（CoBOT SCA）这两种重要的安全实践，帮助各行业使用的软件的安全性和可靠性，提升企业运营效率。

3、库博二进制代码静态分析工具（CoBOT Binary）

关键应用程序通常以二进制可执行文件或可加载库的形式交付，通用漏洞挖掘技术无法直接适配。然而有些行业，包括航空航天企业等军口企业，和所有重视软件质量的民口企业，包括大型互联网企业、通信企业、测评中心等，无法获得源代码，但希望对所使用或测试的二进制代码进行软件安全分析。

库博二进制代码静态分析工具（CoBOT Binary）是新一代二进制代码的程序分析工具，能够在第一时间发现二进制程序中的问题，自动识别缓冲区溢出、空指针解引用等严重的安全漏洞与质量缺陷，免除了传统静态分析工具需要人工确认缺陷的大量时间成本。CoBOT Binary支持运行在32位或64位Windows、Linux操作系统下的二进制代码的全自动检测，具有全中文界面，支持WORD、EXCEL格式化的报表导出，自动提供触发漏洞与缺陷的测试用例，提供可视化的二进制反汇编代码图形展示界面。

CoBOT Binary是国内首个基于白盒的二进制代码检测工具，实现了全自动的漏洞与缺陷的检测和验证，大幅降低了人工确认漏洞与缺陷的时间成本。相对于传统的模糊测试工具，能够更加高效的检测出二进制程序中的漏洞，是新一代的基于静态分析的智能模糊测试产品，更加高效全面。相对于传统的渗透测试工具，CoBOT Binary能够进行全路径的覆盖，从而发现更多的二进制程序漏洞。

4、库博软件资产安全监控平台（CoBOT SCSM）

随着软件产业的快速发展，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。汇总分析近些年愈演愈烈的软件供应链安全事件，不难看出，供应链攻击无处不在，在软件生命周期的各个环节中、软件产品的各种元素上都可能发生。

库博软件资产安全监控平台（CoBOT Software supply Chain Security Monitoring Platform，简称CoBOT SCSM），从全生命周期的角度考虑，软件资产生命周期包括资产选型、资产使用、资产运维、资产退出四个阶段，每个阶段都有若干安全相关的任务，迫切需要自动化的手段管理，减少管理成本，降低安全风险。该平台符合国内最新推出的GB/T 43698-2024网络安全技术-软件供应链安全要求，以及美国国家标准研究院发布的NIST SP 800-161r1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations标准。库博软件资产安全监控平台可以推进针对企业中软件生命周期进行全流程安全管控的落地实践，有助于从软件生命周期的源头保障软件供应链安全。

​

命周期进行全流程安全管控的落地实践，有助于从软件生命周期的源头保障软件供应链安全。