工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具
Posted 上海控安研发与转化功能型平台
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具相关的知识,希望对你有一定的参考价值。
软件的安全性一直受到IoT、汽车、医疗等领域的高度关注,大量对企业有灾难性影响的代码漏洞,不断在一些知名的开源软件中被发现。
例如,heratbleed事件是由于OpenSSL中存在着内存信息泄漏高危漏洞,利用该漏洞可窃取服务器内存(64KB)当前存储的用户数据;Venom事件是由于虚拟机逃逸漏洞,攻击者可以越过虚拟化技术限制,访问并监视控制宿主机,并通过宿主机的权限来访问其他虚拟机;还有类似Linux Ghost、Equifax等事件都对国内外企业甚至国家的数据安全产生严重影响。
上海控安与新加坡南洋理工大学团队联合研发工业软件成分分析工具SmartRocket Scanner,通过使用者所上传的二进制文件或是源代码的连接,检索其中所利用的开源文件,并与国内外数据库进行比对,检测文件中所存在的安全漏洞与许可证隐忧等问题,并提供相对应的信息与修复建议。
此款工具在C/C++等代码分析方面具有显著优势,是国内首款采用双引擎模式分析源代码与二进制文件的漏洞扫描工具,可支持C/C++在内的10多种主流编程语言。
快速分析软件所用到的开源库,能够透彻扫描每一条源代码或二进制文件。
检测开源库的漏洞,通过与CVE漏洞库作对比,给出相应的报告。
分析开源库的许可证合规性,检测潜在的使用许可隐忧。
分析漏洞关系网,可了解并追溯漏洞的来源,降低安全管理的复杂性。
全面的程序语言支持
支持10+种程序语言(C、C++、Python、Java、javascript、php等)
支持20+种不同格式的二进制文件(.apk、.jar、.exe、.arm等)
误判率低
误判率<7%
针对Java, JavaScript, Python等语言误判率可低于2%
高效率研发团队
及时更新数据库信息,处理用户反馈建议,使拥有更完善的使用体验
部署方式多样化
支持即用软件(SaaS)和内部设置(On Premise)两种部署模式
此工具可广泛适用于IoT、硬件制造商、汽车制造商、软件开发商、金融业电子交易平台、法律咨询、知识产权顾问、政府机构等领域。
以上是关于工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具的主要内容,如果未能解决你的问题,请参考以下文章
华为:首款区块链测试工具Project Caliper上线!