江苏自贸区南京片区揭百日“成绩单”:累计吸引注册资本350亿元

中新网南京12月18日电(记者 申冉)“累计新增企业3000余家,平均每个工作日新增企业48家,同比增长59%;累计新增注册资本达到350亿元。”18日,江苏自贸区南京片区(下文简称南京片区)通报了该区“诞生”百日的“成绩单”,显示出,南京片区开放力度和发展前景对海内外资本和创新企业、人才具有强劲吸引力。

Tencent Blade Team也深度参与到了腾讯多个产品的安全审计、合规认证中,涵盖支付、智能设备、云安全、区块链等多个领域,充分将攻击思维用于防御建设中,构建完善的纵深防御系统。

团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯产品的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步。”他介绍道,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。

为更进一步细化南京片区的优惠措施和支持力度,当天还同时发布了《关于促进中国(江苏)自由贸易试验区南京片区高质量发展的意见》(下文简称《意见》),该《意见》随附了南京片区针对创新生态体系、集成电路产业、生命健康产业、金融创新发展、人才发展等9个方面的具体支持措施。

CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。据悉,仅在12月,团队就报送了两个影响范围极大漏洞,分别对Chrom浏览器的Web蓝牙模块和知名开源数据库组件SQLite进行了研究,从攻防的广度和纵深度两个层面拓宽了安全研究的边界。

除了在攻防上的持续探索,接下来开放安全能力助力行业也是腾讯Blade Team的重点方向之一。目前,Tencent Blade Team已建立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作模式。同时,将安全能力开放给产业,通过标准制定、安全认证等多个模式,共同搭建产业安全体系。

张敬华坦言,“很多全国首创和国内领先的(政策)都在《意见》中得到体现。希望能够给在南京片区落地生根的企业和人才真正的‘获得感’。”

未来,Tencent Blade Team也将继续做好安全边界的探索者,安全防线的共建者,安全生态的打造者,充分保障产品、用户和行业的安全。

探索安全边界,多次发布重大研究成果

显现产业价值,全链路合作打造安全生态

“百天来,南京片区累计新增企业3000余家,平均每个工作日新增企业48家,同比增长59%;累计新增注册资本350亿元。剑桥南京科创中心正式奠基,华为鲲鹏生态产业基地开园运营,世界500强企业思爱普江苏创新赋能中心、500亿元规模先进制造业国家大基金等纷纷落户。今年前三季度,片区内的集成电路、基因及生命健康产业主营业务收入同比分别增长达156%、65%。”张敬华介绍。

Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在12月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。

共建安全防线,从漏洞挖掘到防御建设

Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品形态输出,助力数字化产业安全。此次,腾讯安全应急响应中心(TSRC)也斩获了“2019年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。

除了不断探索安全研究的边界外,Tencent Blade Team也在充分利用攻击者视角的优势,参与到防御建设中来,做“安全防线的共建者”。此次在发现麦哲伦2.0的过程中,他们就提出了一种全新的fuzz漏洞挖掘思路和工具,被谷歌采纳,集成到了内部fuzz工具库。据谷歌反馈,这一工具上线后,短期内即发现了SQLite中10余个安全和稳定性问题。

江苏自贸区南京片区通报“诞生”百日“成绩单”。崔晓 摄

南京市委副书记、代市长韩立明介绍,此次出台的《意见》更为突出自贸区的开放性、灵活性、首创性和优先性。“在《意见》的28条政策中,属于全国首创的有11条,占到40%左右。比如,在健全国际化商事法治体系上,在全国率先提出建设首个法治园区;在完善人才服务方面,提出的建设海外人才综合服务平台等,均为全国首创的政策举措。”

此前在美国拉斯维加斯举行的世界顶级黑客大会Blackhat & DEFCON2019的舞台上,Tencent Blade Team斩获了五个议题席位,研究涵盖移动互联网、手机基带、物联网、基础软件库等多方面,创下了国内团队数量之最。

后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2.0,进一步完善了SQLite的纵深防御体系。继发现麦哲伦1.0并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。

前者可让攻击者通过蓝牙模块的内存破坏漏洞,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。

今年8月30日,南京片区正式揭牌,成为自上海自贸区后,长三角地区的又一经济政策开放“特区”。

江苏省委常委、南京市委书记张敬华表示,南京片区自建立之初就致力于成为吸引投资和创业的“优惠政策的洼地”和“科技创新的高地”。据其通报,在成立一百多天里,南京片区持续加大先行先试和政策创新力度,其中,今年江苏省向商务部汇报的6个全国可复制可推广的创新案例中,南京片区有3个;在产业创新上,知识产权综合管理体制改革不断深化;在营商环境上,探索实行“信用+承诺”绿色直通审批新模式,并全力打造一流国际商事法治服务环境。

cradmin提到,今年团队主导完成了《腾讯物联网安全技术规范》和《腾讯智能门锁安全技术要求》,助力腾讯云成功推出物联网设备安全测评服务;还联合腾讯标准团队制定物联网安全相关标准在ITU-T成功立项,提交区块链安全标准提案在CCSA TC8会议成功立项。

产业互联网时代,构建安全生态,需要上下游多方的参与,“安全研究发现问题–厂商协作解决问题–产业合作完善生态”的合作模式正在成为Tencent Blade Team的常态机制。

“全国有18个自贸区,如果政策没有竞争力,就没有人来了。我们的制度创新是动态的,将持续通过改革,提升政策创新的力度。”张敬华强调。(完)