“铸链”之星：库博软件源代码静态分析工具

随着软件供应链遭受的攻击事件数量急剧攀升，诸如Log4j和SolarWinds等标志性供应链攻击事件已赫然揭示了“链式反应”所带来的致命风险，从而使得确保软件供应链安全的紧迫性成为了全社会的普遍共识。为了更有效地搭建产业界与学术界之间的沟通桥梁，深入挖掘并展示社区内的杰出成果案例，同时推动软件供应链领域的深入交流与合作，中国信息通信研究院安全社区（简称“信通院”）于今年10月正式启动了“2024年度‘筑链’案例”的广泛征集活动。在2023-2024年度“铸链”优秀成果评选中，库博软件的源代码静态分析工具凭借其出色的表现，荣获了自主研发创新成果奖，彰显了其在软件供应链安全保障领域的卓越贡献。

库博（CoBOT）软件供应链安全系列工具是由北京北大软件工程股份有限公司（以下简称“北大软件”）联合北京大学软件工程国家工程研究中心（以下简称“国家软件工程研究中心”），经过10年的科技攻关和工程化开发，目前已经形成比较完整的软件供应链安全产品链条，包括库博软件源代码静态分析工具、二进制代码静态分析工具、二进制代码模糊测试工具、软件成分分析与同源漏洞检测工具、开源软件协议合规性检测工具、软件资产安全监控平台。

北大软件作为国家软件工程研究中心的成果转化和企业化运作机制，从2000年12月成立伊始，就把软件工程技术研究、工具研发和应用推广作为公司的重要使命。公司研发了系列软件工程工具和过程管理平台，支持CMMI和GJB 5000系列标准，在多个领域和质量关键部门获得广泛应用。

2012年11月，北大软件公司经过充分的市场调研，意识到软件代码安全检测工具对于保障软件安全和质量起到至关重要的作用，但当时的市场在涉及安全关键的领域和机构，基本以使用引进工具为主。作为一直致力于软件工程技术研发和应用推广的基地，北大软件公司联合国家软件工程研究中心，通过内部项目立项，开始了源代码静态分析工具的研制。2016年3月，推出软件源代码静态分析工具1.0版本，并注册了“库博”商标，目前已经发展到4.3版本；2018年4月，公司立项研发库博软件成分分析与同源漏洞检测工具，并于2020年8月推出第一个版本，目前已经发展到2.0版本；2018年5月，公司立项研发二进制代码模糊测试工具，于2020年10月推出第一个版本；2019年5月，公司立项研发二进制代码静态分析工具，于2021年12月推出第一个版本；2021年7月，公司立项研发软件代码资产安全监控平台（后更名为“软件资产安全监控平台”），于2022年5月推出第一个版本；2021年10月，公司立项研发开源软件协议合规性检测工具，于2022年10月推出第一个版本。

在上述技术研究和工具研发过程中，团队承担和参与了国家重点研发计划项目2项、工信部创新发展工程项目、国家课题2项；申请并获得20多项发明专利；先后荣获2018年第46届日内瓦国际发明展金奖，2018年阿里软件供应链安全比赛第一名，2020年北京市科技进步二等奖、2023北京市科技进步一等奖等荣誉。

此次库博软件的源代码静态分析工具，凭借其出色的表现，向业界彰显了创新技术在守护软件供应链安全方面所蕴含的巨大能量与无限潜能，在荣获自主研发创新成果奖后，其发展前景更是充满希望与光明。相关工作人员表示，此次获奖也进一步激发了北大软件加大自主研发和技术创新力度的热情，北大软件公司期望通过开放合作，将该工具集成到更多的开发流程中，推动整个软件供应链安全生态的构建，携手为祖国软件产业的健康发展提供坚实的技术支撑。