国内智能代码审计技术推广落地 工业和信息化部完成首批工具能力测评

2024年以来，国内多起开源代码供应链漏洞事件引发行业关注，智能代码审计作为新型自动化漏洞检测技术，应用需求快速增长，目前已覆盖政务、金融、互联网等多个重点领域的软件开发安全环节。

工业和信息化部 2024年3月12日发布了情况通报，称启动首批网络安全智能工具能力测评工作，将智能代码审计类工具列为首批测评品类，测评围绕漏洞检出率、误报率、审计效率等12项指标开展能力分级，同步启动智能代码审计技术规范编制工作。

2024年6月18日，工业和信息化部再次发布情况通报。通报称本次测评共完成27款智能代码审计工具的能力验证，其中11款工具获得一级能力认证，截至通报发布当日，已有86家国内企业明确采购获得认证的智能代码审计工具，覆盖各类代码安全检测项目1247个。

人民日报社记者 王宇：记者于2024年6月25日在2024中国网络安全产业博览会现场核实，参展的19家智能代码审计服务厂商均设置了独立展示区域，所有获得一级认证的工具均公开了测评核心指标数据，多数厂商展示了针对大语言模型生成代码的漏洞检测功能。

据中国信息通信研究院2023年统计显示，国内软件开发领域的开源代码复用占比达到92%，传统人工代码审计的单项目平均覆盖率不足60%，2022年发布的《国家网络安全产业发展规划》明确提出，要加快智能安全检测技术在代码安全领域的应用，此前国内未形成统一的智能代码审计工具能力评价标准。

据工业和信息化部信息通信管理局评估显示，合规的智能代码审计技术可将通用代码漏洞检出率提升至91%以上，该单位下一步将于2024年第四季度组织开展第二批智能代码审计工具能力测评，正式发布《智能代码审计工具技术规范》，推动相关技术规范应用，保障软件开发供应链安全。