上传待检测文件,发现待检测文件中第三方组件所带来的安全、敏感信息、投毒组件以及许可证合规性等方面的问题,避免组件带来的风险。
前提条件
已安装嵌入式安全审计平台并可正常登录。
步骤1:登录平台
1. 输入用户名和密码,单击登录进入嵌入式安全审计平台,创建用户请联系管理员。
2. 登录成功后进入系统概览页面,用户权限分为管理员(Admin)和普通用户(User)。
管理员(Admin):可查看概览、项目管理、审计策略、KnowledgeBase(开源软件资产知识库)、报告管理、用户管理、任务中心、系统设置页面。
普通用户(User):可查看概览、项目管理、审计策略、KnowledgeBase(开源软件资产知识库)、报告管理页面。
步骤2:创建项目
1. 在概览页面,单击页面上方的项目管理。
2. 在项目管理页面,选择所需团队,单击右上角的新建项目。
3. 在新建项目页面,输入项目名称和备注,单击新建。
步骤3:新建分析
1. 在项目管理页面,单击目标项目名称,进入详情页单击新建分析。
2. 在新建分析页面,填写基础信息。
参数名称 | 说明 |
版本名称 | 分析包版本名称。 |
版本备注 | 该版本备注信息。 |
分析类型 | |
系统类型 | 支持不同类型二进制文件,包括但不限于固件、软件包、可执行程序、Docker 镜像、bin、hex、s19格式的 RTOS 固件等。 |
审计策略 | 应用于不同分析,用于屏蔽/突出特定的漏洞,License,审计规则以及组件信息,可以方便使用策略快速排查问题 |
3. 在新建分析页面,单击新增分析文件,选择文件类型,单击点击上传,上传目标文件。
4. 在新建分析页面,配置分析参数。
参数名称 | 说明 |
屏蔽路径 | 大小写敏感,支持通配符*匹配,如: 屏蔽指定目录下的所有文件和子目录:/skipped/path/* 屏蔽所有目录下的pom.xml文件:*/pom.xml 屏蔽所有以_test结尾的go文件:*/*_test.go |
分析文件 | 分析的文件类型,会对安全审计结果及分析时间产生影响 |
分析超时 | 文件分析响应时间,若某文件未在响应时间内分析成功,则触发超时机制 |
开启 C/C++组件SCA | 默认启用,禁用后跳过 C/C++组件 SCA 分析 |
开启 C/C++组件 SC A深度扫描 | 开启后扫描精确度提升,扫描耗时也将增加 |
解包递归深度 | 0 表示递归深度自动调整 |
5. 完成上述配置后,单击新建,即可创建成功。
分析类型概览
产品类型名称 | 描述 | |
sysAuditor | 系统基线安全审计 | 集信息采集、结果分析和检测报告于一体的自动化安全审计平台。 |
binAuditor | 制品安全审计 | 聚焦于完整的系统的二进制分析,帮助用户分析出制品中的种种安全问题。 |
srcAuditor | 源码安全审计 | 以源码为核心的软件成分分析平台,帮助用户检测开源组件、敏感信息、license 合规、Copyright、病毒文件风险,建立 SBOM,解决供应链安全及开源合规问题。 |
apkAuditor | 安卓应用安全审计 | 对用户提供的安卓应用进行安全漏洞、隐私合规检测,检测权限、组件、网络等 App 基础安全漏洞,并提供详细的漏洞信息及修复建议。 |