当今随着移动互联网的普及，中国的网民数量和电子商务总量已经居于世界首位，随着5G和物联网的兴起，互联网呈现出应用更加庞杂，接入方式更加复杂，与现实世界联系更加紧密的特点。网络的安全形势日益严峻，传统的网络安全防护方式已经无法完全解决目前的安全问题。

　　近日，中科院计算所百人计划研究员、博士生导师、中科天齐董事长李炼博士接受《高科技与产业化》记者采访时表示，软件安全是网络问当今随着移动互联网的普及，中国的网民数量和电子商务总量已经居于世界首位，随着5G和物联网的兴起，互联网呈现出应用更加庞杂，接入方式更加复杂，与现实世界联系更加紧密的特点。网络的安全形势日益严峻，传统的网络安全防护方式已经无法完全解决目前的安全问题。李炼题的首要问题，应当引起足够的重视。

　　他指出，目前国内外网络安全的研究热点是对新型网络攻击的防护。新型攻击以各类利用未知漏洞（0day漏洞）为攻击目标。其中的一个有代表性的攻击技术是APT（Advanced Persistent Threat）——高级持续性威胁。

　　2012年曝光的“震网”Stuxnet攻击，黑客通过伊朗核电站设施内部网络陆续控制了德国西门子制的PLC，让数千台离心机超载，造成物理性的破坏，而Mage Cart黑客组织在2017及2018年针对知名电子商务网站英国航空、Ticket Master、New Egg网站漏洞进行攻击，窃取了近5000万用户信用卡使用信息。网络安全已经影响到每一个个人、企业、甚至国家。

　　美国国土安全局2016年的报告也指出90%以上的网络安全事件均是由于软件应用中的安全漏洞被攻击或利用而导致的。因而，解决软件安全漏洞问题是当前国内外网络安全问题的核心之一。

　　“新型攻击主要是针对软件未知漏洞（0-day漏洞），而传统网络安全产品如防火墙，入侵检查系统等无法有效防止此类未知危害”，李炼说。

　　对于未知漏洞的防护需要对从软件自身入手，通过代码漏洞检测等手段尽可能发现并修复软件中潜在的各类缺陷和漏洞，从而提高软件的安全性以及对未知攻击的免疫力。

　　代码漏洞检测是通过对源代码进行分析计算从而检测出潜在的安全漏洞，而并不需要执行软件。但是由于技术手段的局限，市场上多数代码检测工具仅能够对比较简单的过程内安全漏洞进行检测，而对于隐藏较深的安全漏洞束手无策。

　　“我们团队一直针对深度漏洞的分析方法展开研究，并在过程间分析方法、深度指针分析、并行程序分析等领域取得了一系列突破性进展。并进一步通过切片技术提高了深度分析方法性能，通过人工智能技术提高了深度分析结果的准确性。”

　　李炼与团队开发的wukong代码检测系统，已经实现了跨文件，跨函数扫描，在查找漏洞的深度，准度和查找速度方面在同类产品中，wukong的表现均很优异。而且和市场上部分主流产品相比，Wukong能够在更短时间内检测更大规模的程序，并且能够有效准确的检测出已有工具无法检测到的大量深度安全漏洞。

　　李炼表示：“现今网络攻击手段千变万化，急需提高软件自身免疫力。今年出台的新版《网络安全等级保护基本要求》在网络安全建设条例中也明确指出软件开发过程中要进行代码检测，有效的进行漏洞分析和修复，从源头上降低软件被攻击的风险。”

　　他认为，在软件生命周期中，从架构设计阶段就要进行安全性审核，开发过程中定期进行代码的漏洞检测，及时修复漏洞，在产品上线后，通过沙箱防护和态势感知等技术对软件再进行实时保护，如果出现攻击可以及时发现并修补漏洞，这样才能在软件整个生命周期中得到完善的保护。其中在该周期中越早发现软件安全漏洞，其修复成本越低。例如在开发阶段修复安全漏洞的成本在60美元，而在系统上线后修复一个安全漏洞的成本可能高达2万美元。

　　“保护好软件就是保护我们这些软件的使用者。”李炼说。2018年，他创建了中科天齐公司，正式走上科研成果产业化之路。

　　迄今为止中科天齐团队已走访了数百家企事业单位，金融机构，足迹遍布全国，与多家企业达成合作意向，逐步开始合作；同时中科天齐在北京、宁波、大连、镇江、南京等地落地了城市检测中心，直接为当地用户提供代码安全检测服务。

　　2019年9月Wukong系统正式亮相国家网络安全周天津主展馆。李炼和中科天齐团队正在用实际行动践行软件安全理念，为了网络更安全，软件更安全的目标持续努力。

　　“我们的团队正在尽全力通过我们的技术让更多客户受益，但同时仅依靠我们目前的力量是远远不够的，”李炼说，“国内外网络安全人才的缺口都是一个很大的问题，目前国内每年网络安全学历人才培养数量不足1.5万，我们正在与大连东软教育学院合作培养网络安全专业人才，预计五年内培养和培训人员万人以上，网络安全事业任重而道远，希望更多人才加入这项有意义的事业”。