方正保护卡如何加入新的软件被保护

在方正保护卡中加入新的软件保护需要进行以下步骤： 1 打开方正保护卡管理程序，在“保护信息”中可以看到已被保护的软件列表，选择“添加”按钮，进入新增加被保护软件界面。 2 在新增被保护软件界面中，可以填写软件名称、版本号、路径等相关信息，然后选择被保护的程序所在的目录，点击“确定”按钮进行添加。注意：被保护的程序必须在此处进行选择，否则软件不会被保护。 3 进行相关设置，包括禁止外部程序访问，禁止被保护软件运行时的调试工具，以及需要指定的保护等级。 4 单击“保存”按钮，将新增的被保护软件保存至方正保护卡中。 5 最后，在方正保护卡“保护设置”界面中进行设置（选择软件在方正保护卡中的安全等级，以及是否授权使用该软件）。 总之，方正保护卡需要通过添加和设置被保护软件来完成保护的任务。对于新增的软件，需要在软件列表中进行添加，并进行相应的设置和相关 *** 作，从而将软件的安全性加强，实现方正保护卡的安全保护功能。在方正保护卡中加入新的软件保护需要进行以下步骤： 1 打开方正保护卡管理程序，在“保护信息”中可以看到已被保护的软件列表，选择“添加”按钮，进入新增加被保护软件界面。 2 在新增被保护软件界面中，可以填写软件名称、版本号、路径等相关信息，然后选择被保护的程序所在的目录，点击“确定”按钮进行添加。注意：被保护的程序必须在此处进行选择，否则软件不会被保护。 3 进行相关设置，包括禁止外部程序访问，禁止被保护软件运行时的调试工具，以及需要指定的保护等级。 4 单击“保存”按钮，将新增的被保护软件保存至方正保护卡中。 5 最后，在方正保护卡“保护设置”界面中进行设置（选择软件在方正保护卡中的安全等级，以及是否授权使用该软件）。 总之，方正保护卡需要通过添加和设置被保护软件来完成保护的任务。对于新增的软件，需要在软件列表中进行添加，并进行相应的设置和相关 *** 作，从而将软件的安全性加强，实现方正保护卡的安全保护功能。

文 中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟

随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异，数字化转型进程逐步推进，软件已经成为日常生产生活必备要素之一，渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链也愈发复杂，全链路安全防护难度不断加大。近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁，自动化安全工具是进行软件供应链安全防御的必要方式之一，针对软件供应链安全及工具进行研究意义重大，对于维护国家网络空间安全，保护用户隐私、财产安全作用深远。

一、软件供应链安全综述

软件供应链定义由传统供应链的概念延伸扩展而来。业界普遍认为，软件供应链指一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点，根据其定义可知，相比传统针对软件自身安全漏洞的攻击，针对软件供应链，受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备，显著降低了攻击者的攻击难度。同时，软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全，扩大了攻击所造成的影响。

近年来，软件自身安全防御力度不断加大，攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节，软件供应链安全事件频发，对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月，美国网络安全管理软件供应商“太阳风”公司（SolarWinds）遭遇国家级 APT 组织高度复杂的供应链攻击，直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响，可任由攻击者完全 *** 控。

软件供应链安全影响重大，各国高度重视，纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日，美国总统拜登签署发布《改善国家网络安全行政令》，明确提出改善软件供应链安全，要求为出售给政府的软件开发建立基线安全标准，不仅提供应用程序，而且还必须提供软件物料清单，提升组成该应用程序组件的透明度，构建更有d性且安全的软件供应链环境，确保美国的国家安全。同年 7 月，美国国家标准与技术所（NIST）发布《开发者软件验证最低标准指南》，为加强软件供应链安全加码，明确提出关于软件验证的 11 条建议，包括一致性自动化测试，将手动测试最少化，利用静态代码扫描查找重要漏洞，解决被包含代码（库、程序包、服务）等。

我国对软件供应链安全问题也给予了高度重视，2017 年 6 月，我国发布实施《网络产品和服务安全审查办法》，将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日，《信息安全技术 网络安全等级保护基本要求》20 版本正式实施，在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。

二、软件供应链安全挑战

目前，软件供应链安全受到高度重视，但仍面临多重现实挑战，可以总结分为以下五大类。

1 软件设计开发复杂化成为必然趋势

随着容器、中间件、微服务等新技术的演进，软件行业快速发展，软件功能及性能需求也不断提升，软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增，设计与开发过程不可避免的产生安全漏洞，为软件供应链安全埋下隐患。

2 开源成为主流开发模式

当前，开源已经成为主流开发模式之一，软件的源代码大多数是混源代码，由企业自主开发的源代码和开源代码共同组成。根据新思 科技 《2021 年开源安全和风险分析》报告显示，近 5 年，开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率，但同时也将开源软件的安全问题引入了软件供应链，导致软件供应链安全问题多元化。

3 快速交付位于第一优先级

由于业界竞争环境激烈，相较于安全，功能快速实现，软件快速交付仍处于第一优先级，虽然软件通常实现了安全的基本功能需求，如身份认证鉴权、加解密、日志安全审计等，但整体安全防护机制相对滞后，以后期防护为主，前期自身安全性同步建设往往被忽视，软件自身代码安全漏洞前期清除存在短板。

4 软件交付机制面临安全隐患

软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体，随着互联网等技术的发展，通过网络对于软件进行快速分发已经成为基本模式，不安全的分发渠道同样会对软件供应链安全产生重大影响。

5 使用时软件补丁网站攻击

针对软件供应链安全防护，软件的生命周期并非结束于软件交付之后，而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷，通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响，受污染的补丁下载站点同样会造成软件供应链安全问题。

三、软件供应链安全防护工具

软件供应链安全涉及众多元素及环节，参考业界常见划分，软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护，主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关，安全防护较为复杂，囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全，涉及四类安全工具，包括软件生产过程中的工具和软件供应链管理工具。

1 静态应用程序安全测试工具

静态应用程序安全测试（SAST）是指不运行被测程序本身，仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关，源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的，利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前，主流分析技术包括：（1）词法分析技术，只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配，不深入分析代码的语义和代码上下文。词法分析检测效率较高，但是只能找到简单的缺陷，并且误报率较高。（2）抽象解释技术，用于证明某段代码没有错误，但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此，该技术的精度和性能取决于抽象域对真实程序值域的近似情况。（3）程序模拟技术，模拟程序执行得到所有执行状态，分析结果较为精确，主要用于查找逻辑复杂和触发条件苛刻的缺陷，但性能提高难度大。主要包括模型检查和符号执行两种技术，模型检查将软件构造为状态机或者有向图等抽象模型，并使用模态/时序逻辑公式等形式化的表达式来描述安全属性，对模型遍历验证这些属性是否满足；符号执行使用符号值表示程序变量值，并模拟程序的执行来查找满足漏洞检测规则的情况。（4）定理证明技术，将程序错误的前提和程序本身描述成一组逻辑表达式，然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性，能够使用逻辑公式方便地描述软件缺陷，并可根据分析性能和精度的不同要求调整约束条件，对于大型工业级软件的分析较为有效。（5）数据流分析技术，基于控制流图，按照某种方式扫面控制流图的每一条指令，试图理解指令行为，以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解，一般分为正向传播和逆向传播，正向传播就是沿着控制流路径，状态向前传递，前驱块的值传到后继块；逆向传播就是逆着控制流路径，后继块的值反向传给前驱块。

2 动态应用程序安全测试工具

动态应用程序安全测试（DAST）技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍，主要包括三个方面的内容：（1）信息收集。测试开始前，收集待测试网站的全部 URL，包括静态资源和动态接口等，每一条 URL 需要包含路径和完整的参数信息。（2）测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表，测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中，对访问目标网站的速度进行控制，保证目标网站不会因为同一时刻的请求数过高，导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时，根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。（3）测试报告。在安全测试各步骤都完成后，输出测试报告。测试报告一般包含总览页面，内容包括根据测试过程产生的各种数据，输出目标网站安全性的概要性结论；测试过程发现的总漏洞数，以及按照不同安全等级维度进行统计的漏洞数据。

3 交互式应用程序安全测试工具

交互式应用程序安全测试（IAST）通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及漏洞，确定安全缺陷及漏洞所在的代码位置，主要在三方面做工作：流量采集、Agent监控、交互扫描。（1）流量采集，指采集应用程序测试过程中的 >

aardio是一个用于编写Windows应用程序的开发工具，可以将应用程序打包成exe文件。如果想要在aardio中设置应用程序的使用期限，可以考虑以下步骤：

在aardio中打开应用程序的项目文件。

在项目文件中添加代码，实现使用期限的限制功能。可以使用系统时间等方式来实现限制功能。

在aardio中将应用程序打包为exe文件。打包时，可以设置exe文件的有效期限，比如30天、60天等。

安装exe文件到用户计算机上，用户可以在指定的有效期内使用该应用程序。一旦过了有效期，应用程序将无法正常使用。

需要注意的是，由于aardio的打包功能相对简单，如果需要更加严格的软件保护功能，可以考虑使用专业的软件保护工具，如ASPack、Themida等。这些工具可以对exe文件进行更加复杂的加密和保护，保证软件的安全性和稳定性。

以上就是关于方正保护卡如何加入新的软件被保护全部的内容，包括:方正保护卡如何加入新的软件被保护、软件供应链安全及防护工具研究、aardio打包时设定使用期限等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！