二进制软件成分分析
二进制软件成分分析(Binary Software Composition Analysis, BSCA)是一款基于二进制分析能力的自动化软件成分分析工具。BSCA无需源码,使用便捷,一键上传文件即可输出安全报告,帮助您高效识别风险,节省安全成本,提升安全竞争力。
二进制软件成分分析有什么产品功能?
二进制文件解析
二进制软件成分分析良好的支持自动化解析各类二进制构建产物。
- 支持 CPU 架构
x86/x64 | ARM/ARM64 | MIPS | PowerPC |
|---|
- 支持操作系统
Linux | Android | Windows | QNX | MacOS | RTOS |
|---|
- 支持文件格式
类型 | 文件格式 |
|---|---|
固件镜像 | uimage、fit image、zimage、IMG0、TR |
文件系统 | cramfs、yaffs、jffs2、cpio、squashfs、ubi |
压缩文件 | lzma、xz、zip、bz、tar、arj、lzo |
Apk文件 | Apk |
可执行文件 | PE:exe、ddl、com、cplELF:bin、elf、so、o |
其他未知格式 | 可以采用遍历穷举方式识别出所有可识别的数据片段,进行部分解包还原 |
已知漏洞检测
二进制软件成分分析支持公开漏洞检测,并提供漏洞暴露位置、漏洞详细信息、解决建议等实用信息。
开源软件检测
二进制软件成分分析支持检测构建产物使用的开源软件,并提供软件需遵循的开源协议详细信息和声明要求,协助合规性检查。
敏感信息检测
支持检测文件敏感信息,定位敏感信息位置,减少信息泄漏及被非法利用的风险。
二进制软件成分分析有什么产品优势?
二进制分析能力
二进制软件成分分析无需源码,即可进行软件成分分析。依托腾讯安全科恩实验室的二进制分析能力,可良好的支持多数二进制解析场景。
漏洞扫描能力
二进制软件成分分析使用数据流、控制流、污点分析等技术,从常见攻击面出发,提炼漏洞的二进制特征,提高版本匹配和漏洞匹配的准确性。
漏洞概率输出
二进制软件成分分析支持3000+内核 CVE,通过 CVE 符号特征和二进制匹配规则。通过安全专家经验,提炼独有规则,提升漏洞识别准确性,降低漏洞核实成本。
丰富的开源组件知识库
二进制软件成分分析拥有常见开源软件信息,有助于个人及企业对软件上线做合规性检查。
全方位的文件格式支持
支持20+文件格式,包括常见固件、镜像、文件系统、压缩文件等。支持 Linux、Android、QNX 等常见系统,支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架构。
二进制软件成分分析有什么应用场景?
风险识别
识别使用的开源软件信息,有助于遵守许可证协议;展示文件包含的敏感信息,主动避免敏感信息泄露。
物联网安全
为智能家居、工控设备、医疗设备、智能穿戴、出行交通等行业的设备制造商、应用开发商,提供自动化软件安全成分分析。
供应链安全
检查上下游供应链安全问题,将不同供应商的系统、应用集成之后进行统一的系统安全测试,厘清责任归属,发现问题通知供应商进行修复。
持续集成/持续部署
持续集成/持续部署(CI/CD )融入软件生命周期(SDLC)管理,在安全开发流程,实现安全左移。在发布前对发布包安全检测,检查软件发布合规性与安全性,降低安全风险。
- opensca(软件成分分析)使用
- 源码&二进制组成成分分析现状
- 软件成分分析和依赖安全检查
- 软件成分析和SBOM的联合防御
- 使用admixture软件做祖先成分分析小实例
腾讯云开发者
