vlambda博客
学习文章列表

工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具

工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具
第三方代码的使用是企业能够快速高效建立新系统、新产品、新平台的关键因素,能大幅度缩短开发周期,减少人力和资金的投入。目前大部分第三方代码包含大量的开源代码,并且主要是以二进制代码或是源代码的方式开源。
工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具


软件的安全性一直受到IoT、汽车、医疗等领域的高度关注,大量对企业有灾难性影响的代码漏洞,不断在一些知名的开源软件中被发现。


例如,heratbleed事件是由于OpenSSL中存在着内存信息泄漏高危漏洞,利用该漏洞可窃取服务器内存(64KB)当前存储的用户数据;Venom事件是由于虚拟机逃逸漏洞,攻击者可以越过虚拟化技术限制,访问并监视控制宿主机,并通过宿主机的权限来访问其他虚拟机;还有类似Linux Ghost、Equifax等事件都对国内外企业甚至国家的数据安全产生严重影响。


上海控安与新加坡南洋理工大学团队联合研发工业软件成分分析工具SmartRocket Scanner,通过使用者所上传的二进制文件或是源代码的连接,检索其中所利用的开源文件,并与国内外数据库进行比对,检测文件中所存在的安全漏洞与许可证隐忧等问题,并提供相对应的信息与修复建议。


此款工具在C/C++等代码分析方面具有显著优势,国内首款采用双引擎模式分析源代码与二进制文件的漏洞扫描工具,可支持C/C++在内的10多种主流编程语言。


特色功能

工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具

快速分析软件所用到的开源库,能够透彻扫描每一条源代码或二进制文件。


检测开源库的漏洞,通过与CVE漏洞库作对比,给出相应的报告。



工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具
工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具

分析开源库的许可证合规性,检测潜在的使用许可隐忧。


分析漏洞关系网,可了解并追溯漏洞的来源,降低安全管理的复杂性。



工具链 │ 国内首款同时支持源代码与二进制文件的漏洞扫描工具
价值优势


全面的程序语言支持

  • 支持10+种程序语言(C、C++、Python、Java、JavaScript、PHP等)

  • 支持20+种不同格式的二进制文件(.apk、.jar、.exe、.arm等)


误判率低

  • 误判率<7%

  • 针对Java, JavaScript, Python等语言误判率可低于2%


高效率研发团队

  • 及时更新数据库信息,处理用户反馈建议,使拥有更完善的使用体验


部署方式多样化

  • 支持即用软件(SaaS)和内部设置(On Premise)两种部署模式


主要应用领域


此工具可广泛适用于IoT、硬件制造商、汽车制造商、软件开发商、金融业电子交易平台、法律咨询、知识产权顾问、政府机构等领域。



想要了解更多控安技术,请戳