自由定制，开创新境|国内首个开放式程序分析产品：寻径UtopianCode正式发布！

杭州寻臻科技有限责任公司成立于2023年，创始团队来自国内一线互联网公司及知名战队Nu1L Team，核心技术团队成员深耕软件供应链安全技术多年，多次获得国家级网络安全赛事冠军并在世界杯级赛事DEFCON CTF中取得佳绩，同时相关研究成果发表于BlackHat USA等会议。

寻臻科技以开发者为核心，专注于打造企业级软件供应链安全与数据安全解决方案，结合程序分析能力，探索软件供应链安全与数据安全的全新能力边界，从源头守护应用资产安全。

根据Forrester发布的《The State Of Application Security, 2023》调查数据显示，在外部攻击事件中，软件供应链问题导致的安全问题已经成为应用安全的主要风险，这意味着与软件供应链安全相关的源代码安全、组件安全、镜像安全等领域已成为外部攻击者的主要关注点。 

在安全领域，将通过静态分析方式对应用源代码进行安全检测的方式称为静态应用安全测试（SAST，Static Application Security Testing），这种以源代码、编译产物为目标的测试工具不需要收集应用的动态运行信息即可分析出所包含的潜在问题。

为了应对需求的快速增加以及对应迭代周期变短的趋势，软件研发团队引入了敏捷开发流程。随着敏捷开发理念的快速推广，如何针对新的研发模式建立新的研发安全体系成了亟待解决的问题。

大量研究与业界实践表明，在这种快速迭代的模式中，让安全检测环节尽可能早地接入研发流程中，与传统的事后应急相比，能够极大地降低整体成本，“安全左移”应运而生。SAST产品作为直接面向软件源代码与编译产物的静态检测工具，与“安全左移”概念天然契合，因此得到了快速发展。但这也导致在新的时代，传统的SAST产品迎来了新的挑战：

• 企业存在大量自研框架及代码，SAST标品适配度低，需要进行大量定制化
• 业务场景复杂，需求灵活多变，问题识别模式也需要随之不断变化
• 安全工具灵活性差，定制化开发成本高，难以跟进安全对抗局势
• 开发安全团队体量小，人力成本紧张，需要发挥团队能力
• 产品形态老旧，无法适应新的架构与开发模式，难以复用基础设施建设成果

为了解决传统SAST在新时代所面临的问题，寻臻科技自主研发了国内首个开放式程序分析平台：寻径UtopianCode，专注于应用安全以及研发效能领域，旨在解决目前静态分析工具中分析能力难以开放的问题。

与常见程序分析不同，在开放式程序分析中，我们通过声明式编程的方式构建静态分析算法，实现程序分析核心逻辑对用户完全接入，用户可以浏览并任意修改，SAST产品对用户不再是个封闭黑盒系统。

借助开放式程序分析，企业可快速引用寻径的已有能力模块，根据自身业务特点快速构建出专属扫描能力，沉淀内部安全体系建设经验，实现团队协作模式的进化，解放生产力。

MirrorQL是寻臻科技自主研发的一门逻辑编程语言，我们借助MirrorQL语言实现了开放式程序分析。

基于开放式程序分析的寻径UtopianCode拥有极其强大且灵活的规则定制能力，通过编写MirrorQL代码，用户便能够直接实现能力的复用与编辑，从此让规则定制不再仅限于简单的过滤筛选。

针对不同风险单独建模，精确识别问题，细粒度掌控分析目标，帮助使用者聚焦核心问题，提升整体效率。

风险数据可视化，整体问题缺陷数据情况一目了然，重点数据全面且丰富，快速把控整体安全态势。

寻径UtopianCode是国内首个开放式程序分析产品，借助开放式程序分析，用户将获得无与伦比的规则定制能力，可针对业务场景进行深度的能力打造，建立独一无二的分析能力。

从抽象语法树、调用图等基础的程序语义信息，到抽象程序语义图、程序依赖图、代码属性图等复杂的程序语义信息，寻径UtopianCode从待分析的目标对象中获得多层次、多角度的程序信息，让结果更精准。

通过对程序分析与安全对抗场景的针对性深入研究，我们设计了逻辑编程语言MirrorQL，与传统的命令式编程语言相比，MirrorQL的重点在于"描述程序分析规则想要做到什么"。

而与传统的Datalog语言及CodeQL相比，MirrorQL的表达能力更加强大，代码可读性明显更优，对于使用者而言上手成本极大降低。

寻径融合多种前沿技术，在程序分析技术上，我们使用了指针分析、框架建模、污点分析、函数摘要等技术，同时在分析引擎上，我们使用了大数据知识图谱推理，除此之外，我们还加入了AI能力，在针对问题点的定制化修复建议及自动生成开放式程序分析逻辑上提供帮助。

与常见的代码分析产品不同，寻径UtopianCode包含丰富的分析策略，并且支持高度灵活的配置，可以针对不同的业务场景需求，选择不同分析策略，以平衡对性能和准确性的需要。

寻臻科技核心团队多年从事于漏洞研究与对抗，借助顶尖的安全经验打磨寻径UtopianCode，提升真实场景下表现。

寻径UtopianCode目前支持Java、C以及C++语言，其他语言的分析模块正在快速构建中，我们将在后续版本中持续迭代。

目前寻径UtopianCode系统为私有化部署，支持私有云、软硬件一体机交付方式。在私有化部署方式中，寻径UtopianCode全程无需外界网络进行通信，即可完成全流程的代码分析。

私有云交付是通过整合寻径UtopianCode的云原生部署文件，在客户环境的私有云环境进行自动化的部署配置。在软硬件一体机交付方式中，寻径UtopianCode将部署至机架式服务器中，随着服务器整机进行交付使用，无需再进行额外的配置，开箱即用。

在后续迭代中，我们也将上线公有云模式 ，支持用户直接通过公有云进行使用，通过SaaS服务，可以低成本、高灵活地使用寻径UtopianCode的核心功能，敬请期待！