 |
 |
 |
近年來,為了提高研發進度和生產效率,越來越多的程序引入第三方開源組件,很多單位將軟件功能檢測放在第一位,但針對軟件的安全檢測還未引起重視,尤其對第三方開源組件可能存在的漏洞等安全問題還未引起足夠足夠警示。很多企事業單位,對于自身軟件引用了哪些第三方開源組件,哪些組件又存在哪些漏洞和風險,哪些風險會帶來哪些不可控因素,漏洞安全以及影響到自身產品發布等因素并未做到提前布控和規避。從安全的角度來看,所有軟件,無論是專有軟件還是開放源代碼,都有可能存在安全漏洞。如果少數開源漏洞(例如Apache Struts或OpenSSL曾被爆出的高危漏洞)被廣泛利用,將對國家,人民財產以及公共安全帶來極大不穩定因素。以2014年的OpenSSL曾被爆出的高危心臟出血漏洞舉例說明,其攻擊加密程序庫OpenSSL,被廣泛應用于互聯網通信協議中。由此給各大電商網站,銀行,證券,政府,研究機構,甚至包括個人財產等帶來極大不安全因素。
經過科研人員的不懈努力,東方羲和推出翰飛(HFei)軟件,旨在解決用戶單位的組件分析及安全問題,測試第三方許可協議,有效監測安裝程序存在的漏洞,且與國家漏洞庫同步更新,擁有較高的性價比,提前將危險扼殺在搖籃里,提前加上一道保險。
現代應用程序很大程度上依托于第三方開源代碼。這是被廣泛接受的資源節約開發慣例,其可以免去應用程序中的非核心功能開發任務。但開源軟件不等于免費軟件,使用不當,將面臨侵權訴訟風險、負面宣傳、增加開發和支持成本。每一個第三方開源組件均具有相關許可,這對用戶自身的應用程序能否發布和有否被授權都會產生直接影響。在引用第三方開源組件時,同時也會把組件中的漏洞和惡意后門一同帶入到系統中,第三方代碼可能包含已知的漏洞,其最終會對用戶的應用安全產生直接影響。業內分析人員指出,超過90%的IT企業使用開源軟件來處理關鍵任務,而且某些應用程序的構成有90%是開源組件。盡管開源軟件中的漏洞數量少于專有軟件,但僅在2018年就發現了7,000多個開源漏洞。在過去的二十多年中,已經涌現出至少超過50,000個漏洞。根據Gartner統計,目前大多數企業研發項目中80%為開源框架和組件,開源軟件中的漏洞每年以4000個以上的速度遞增。
截至到目前為止,許多企事業單位并未正式管理開發人員對開放源代碼的使用,很少有公司能夠生成準確、最新的開放源代碼組件、許可證、版本及補丁狀態清單(也稱為物料清單或BOM)。這導致企事業使自己和客戶面臨雙重風險。
翰飛(HFei)對應用程序和固件進行掃描,專業分析包含的開源組件,并列出所含代碼和庫文件相關的軟件許可及對應的已知漏洞。翰飛(HFei)不僅能揭示開源的和私有的第三方代碼和庫文件,還能夠枚舉出對應的CVE(Common Vulnerabilities and Exposures通用漏洞披露)標識符以及相關的軟件許可證。將編譯好的二進制文件上傳(不需要源代碼),僅需花費很短時間就可以揭示出你所需要的軟件內部運行的信息。
翰飛(HFei)專業識別第三方開源代碼以及其漏洞和許可,這對于預防程序被攻擊至關重要。采用二級制掃描技術,翰飛提供下列主要功能:
• 識別第三方軟件包和第三方庫文件。
• 在被掃描的應用軟件中,識別用于第三方代碼的綁定軟件許可。
• 找出可能對你的應用軟件造成安全風險的第三方組件漏洞。
• 易于操作的界面:只需按下按鈕,即可上傳你的二級制文件。
• 方便快捷:上傳二進制文件后,很短時間內給出測試結果。
上一篇:公司通過ISO9001認證
下一篇:沒有了
