嵌入式安全审计平台
嵌入式安全审计平台的产品功能有哪些?
二进制文件解析
嵌入式固件安全扫描,良好支持自动化解析各类二进制构建产物。
支持 CPU 架构
x86/x64 | ARM/ARM64 | MIPS | PowerPC |
|---|---|---|---|
ARM7、9、11 | SuperH | TriCore | 其他 |
支持操作系统
Linux | Android | Windows | QNX | MacOS |
|---|---|---|---|---|
Proprietary | RTOS | NetBSD | FreeBSD | 其他 |
支持文件格式
类型 | 文件格式 |
|---|---|
安装包格式 | Redhat RPM (.rpm)、Debian package (.deb)、Mac installers (.dmg, .pkg)、Windows installers 7z, zip, rar self extracting .exe、Windows installers MSI Installer、Windows installers CAB Installer等 |
文件系统/磁盘镜像 | 支持 ext2、ext4、squashfs、vfat、ubifs、ubi、romfs、sparse (simg2img) 等文件系统,gpt、dos、PMBR、mac 等多种分区,vhd Windows 磁盘镜像 |
压缩文件格式 | gzip(.gz)、bzip2(.bz2)、lzma(.lz)、lz4(.lz4)、compress(.Z)、xz(.xz)、pack200(.jar)、upx(.exe)、Zip(.zip, .jar, .apk and a number of others derivates)、Xar (.xar)、zip (.7z)、ARJ (.arj)、ar (.tar)、VM Tar (.tar)、cpio (.cpio)、RAR (.rar)、LZH (.lzh) |
编程语言/编程类型 | 支持以下不同编程语言、不同编译器及编译选项、不同平台架构、不同 OS 系统的二进制软件包的检测:C/C++、Java/Kotlin、ArkTS、Go、Rust 等二进制软件包GCC、VisualStudio、Clang、intel C++编译器及不同编译优化选项、不同安全编译选项生成的二进制软件包x86、arm、mips、ppc、risc-v 的32位或64位 CPU 指令的二进制软件包Windows 的 PE 格式(.dll/.exe/.ocx/.sys/.com/.lib/.obj)Linux 的 elf 格式(.so/.exe/.o/.a)内核 images 格式跨平台语言 Java(.jar/.apk/.aar)的二进制软件包 |
固件格式 | 支持以下不同固件格式的检测:Intel HEX、SREC、uBoot、Juniper firmwares、cramfs、fit(flattened image tree)、jffs2、Android OTA、dmg (macos .dmg)、uImage/zImage、android boot image 等 |
其他未知格式 | 可以采用遍历穷举方式识别出可识别的数据片段,进行部分解包还原(具体以产品实际可识别格式范围为准) |
源码 SCA-分析能力 | 支持通过锁文件分析、文件 hash 分析、代码片段分析等技术手段识别以下各类第三方组件支持十种以上依赖包管理器如:Maven、Npm、Yarn、Pnpm、GoMod、Nuget、Cargo、RubyGems、Bundler、Composer、CocoaPods、Poetry、Pip、Setuptools、Conan、Hex、Conda、Dart、Gradle能够识别主流开发语言的开源组件识别,包括:C/C++、Java、ArkTS、Kotlin、JavaScript、TypeScript、Python、Go、C#、Ruby、PHP、Swift、Rust、Pub |
嵌入式安全审计平台的产品特性是什么?
合规引导
针对汽车行业《汽车整车信息安全技术要求》、UN_Regulation_No.155、156等相关法规标准,嵌入式安全审计平台可快速适配满足汽车整车信息安全检测要求。
开发安全建设
融入软件生命周期(SDLC)管理,在安全开发流程,实现安全左移。在发布前对发布包安全检测,检查发布阶段产物合规性与安全性,作为兜底保障。
二进制分析能力
腾讯安全科恩实验室拥有丰富的二进制分析经验和漏洞挖掘能力。二进制分析不依赖源码即可进行检测,提供细粒度分析能力,满足行业、企业针对于源码不能外传等合规性场景。
关键基础设施安全
为智能设备,工控设备、医疗设备、智能穿戴、出行交通等行业的设备制造商、应用开发商,提供自动化软件安全成分分析。
供应链安全体系建设
检查上下游供应链安全问题,将不同供应商的系统、应用集成之后进行统一安全测试,建立供应商软件安全评审标准,厘清责任归属,及时进行问题修复。
全方位风险检测
支持对开源软件、安全配置、信息泄露、病毒文件等进行风险检测,同时可对系统中网络、服务、文件、进程、权限等进行安全审计。
支持多语言、多格式、多架构平台
支持多种语言编译构建、多种操作系统、多种CPU架构下生成的二进制文件,覆盖各类文件系统和文件格式,满足更多用户场景。
组件知识库
覆盖600w+组件库,1.2亿+组件版本信息,2000+License信息,20多种包管理器、各类主流语言,支持 CNNVD、CNVD、NVD等权威漏洞数据库。
场景丰富
供应链安全、开发安全、安全左移、持续集成、安全管控、安全审计,Copyright、license风险检测等。
嵌入式安全审计平台的产品优势是什么?
已知漏洞检测
嵌入式固件安全扫描,支持公开漏洞检测,并提供漏洞暴露位置、漏洞详细信息、解决建议等实用信息。
开源软件检测
嵌入式固件安全扫描,支持检测构建产物使用的开源软件,并提供软件需遵循的开源协议详细信息和声明要求,协助合规性检查。
敏感信息检测
支持检测文件敏感信息,定位敏感信息位置,减少信息泄漏及被非法利用的风险。
二进制分析
具备二进制 SCA 能力,与依赖扫描结合,分析二进制制品安全问题。
漏洞扫描
腾讯安全专家持续维护追踪漏洞,使用数据流、控制流、污点分析等技术,从常见攻击面出发,提炼漏洞的二进制特征,使得版本匹配更精准,漏洞匹配更准确。
内核漏洞概率输出
支持多种规则 CVE 漏洞检测,通过安全专家经验,给出漏洞规则匹配概率,提升内核漏洞判断准确性,降低漏洞核实成本。
丰富强大的开源协议库
覆盖市面常见各类开源组件,支持针对开源软件的许可证信息、许可证冲突、许可证风险、版权信息、敏感信息泄露、安全配置等各类安全问题检测,协助合规性检查。
敏感成分分析
支持密钥敏感信息、设备敏感信息、商业敏感数据、通用敏感信息检查,输出详细敏感信息成分,定位信息泄漏位置。
文件格式支持
支持20+文件格式,包括常见固件、镜像、文件系统、压缩文件等。支持 Linux、Android、QNX 等常见系统,支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架构。
报告易读
支持一键上传固件包、软件包等文件,即可分析,获取完整安全成分分析报告。
嵌入式安全审计平台的应用场景有哪些?
风险识别
识别使用的开源软件信息,有助于遵守许可证协议;展示文件包含的相关开源敏感信息,避免敏感信息泄露。
物联网安全
为智能家居、工控设备、医疗设备、智能穿戴、出行交通等行业的设备制造商、应用开发商,提供自动化软件安全成分分析。
供应链安全
利用二进制 SCA 分析,将不同供应商的系统、自研应用集成之后进行统一的系统安全测试,识别第三方库的开源许可证信息,有助于发布包遵守许可证协议;展示文件包含的敏感信息,避免敏感信息泄露。
持续集成/持续部署
持续集成/持续部署(CI/CD)融入软件生命周期(SDLC)管理,在安全开发流程,实现安全左移。在发布前对发布包进行安全检测,检查软件发布合规性与安全性,降低安全风险。
汽车行业信息安全法规监管
适配汽车行业的《车载信息交互系统信息安全技术要求》、《汽车网关信息安全技术要求及试验方法》、UN_Regulation_No.155,156等标准中安全检测相关要求。
嵌入式安全审计平台的扫描对象是什么?
嵌入式安全审计平台的漏洞扫描对象为产品编译后的二进制软件包或固件:Linux 安装包、Windows 安装包、Web 部署包、Android 应用、嵌入式固件等。
collector 是什么?其运行环境是什么?
collector 是对目标系统的采集器,运行在本地,以无侵入的方式远程连接目标系统。
collector 是一个可执行的二进制文件,需要使用简单命令行开启自动化检测。
collector 运行的本地系统需为x86-64架构,对远程目标系统没有架构要求。
二进制 SCA 与源代码 SCA 有什么不同?
DevSecOps 中,二进制和源代码 SCA 作用互补。
二进制 SCA 检测对象为二进制构建产物,无需源码。
二进制 SCA 和源代码 SCA 检测阶段不同,源代码 SCA 在开发阶段检测,二进制 SCA 在测试阶段检测。
二者通常在语言支持上互补,嵌入式固件安全扫描对 C++、C、Java、Golang 等语言良好支持。
二者通常在检测结果上互补,嵌入式固件安全扫描可补充检测源代码规范格式外的开源软件和在构建过程中引入的开源软件。
APK/Java SCA 分析区别是什么?
APK 与 Java jar 包由于平台,场景,编译条件不同,分析的技术路线与难点都是不一样的。
(1)对于后台开发的 Jar 包等制品可以支持如下分析:
native 可执行文件分析。
jar 包编译后成分分析,主要来源是 maven 等常见开发源。
(2)对于 APK 可以做如下分析:
APK 本身安全问题分析。
native 可执行文件分析。
APK 使用的第三方 SDK 分析,主要来源是主流的 APK 开发所需要的 SDK,如地图 SDK 等。
如何理解符号匹配和二进制匹配模式?
符号匹配和二进制匹配通常针对内核 CVE 的匹配规则。二进制匹配和符号匹配不是单独分开的功能点。符号匹配是指在提取到内核文件的符号信息之后,将其与各个 CVE 的问题符号做对比,判断漏洞涉及的特征符号是否在当前被扫描文件中。
而二进制匹配模式功能上属于符号匹配的超集,除了基本的问题符号匹配功能以外,还能够基于专家经验总结的各种二进制规则对当前文件的数据流、控制流等静态信息与漏洞的对应信息做匹配,即二次判断当前内核文件是否有相应漏洞问题,提升内核漏洞扫描的准确率。
- 腾讯安全嵌入式安全审计平台入选国家级试点!
- 数据安全审计平台深度解析
- 数据安全实践之数据安全日志审计平台
- 数据库安全审计平台深度分析
- 数据库审计系统深度分析:DB审计、SQL审计与数据安全审计平台的主流对比
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号