站長資訊網開源軟件是大多數嵌入式零件和IoT設備的基礎,該服務由Insignary Clarity™提供支持,它能滿足OEM、開發人員和用戶對開源軟件進行二進制安全掃描。
2017年8月9日 – Insignary,二進制級別開源軟件安全和合規的全球領導者,今天發布了其免費的開源軟件二進制代碼掃描服務TruthIsIntheBinary.com。由Insignary Clarity™二進制代碼掃描軟件提供支持的TruthIsIntheBinary.com,能夠使OEM、開發人員和用戶快速輕松地掃描其嵌入式應用程序和IoT設備中的開源軟件。TruthIsIntheBinary.com能在91,000多個已知的安全漏洞中識別SambaCry,Devil’s Ivy,Heartbleed,Ghost以及Venom、使這些業內專家看作是IoT安全的“定時炸彈”無效化。
TruthIsIntheBinary.com使用非常容易。OEM和開發人員將未壓縮的二進制文件上傳到該站點,該站點支持掃描能在99%的現有計算平臺上運行的任何可執行文件,包括從應用商店下載的智能手機應用程序。該服務將在短短的幾分鐘內掃描該文件,而后用戶將收到掃描文件的報告,該報告包括潛在的安全問題數量及其嚴重程度。OEM和開發人員可以利用這些信息去發現安全漏洞,從而通過補丁或更新軟件版本來解決問題。
“IoT技術領域的創新由開源軟件支持著。我們將持續看到依賴于諸如Linux項目等的嵌入式零件和IoT設備及服務的大規模擴張,它們將幫助人們提高業務效率并改善人們的生活。Insignary公司首席執行官TJ(Taejin)Kang表示,“不幸的是除非原始設備制造商和開發商可以有效地確保他們銷售的IoT設備,否則主要的的企業和社區基礎設施都將很容易受到攻擊。我們免費的TruthIsIntheBinary.com服務是由我們的Clarity軟件提供支持的,它能使OEM和開發人員能夠在二進制級別發現安全威脅。當他們了解到這個服務的效率性時,在某些時候他們可能會考慮使用我們的全功能版本的Clarity,在那里他們將能得到一個更為詳細的報告。我們正在并將繼續提供支持開源社區的產品和服務。”
Gartner公司估計,相較于今年的84億,到2020年,全球將有204億個物聯網組件。根據2017年波士頓咨詢集團的報告,到2020年,物聯網產品和服務市場預計將達到2,670億美元。該報告還預測,到2020年,物聯網支出的50%將會用在離散制造,運輸和物流及公用事業領域,這些領域都是企業和社區基礎設施的關鍵領域。
安全漏洞
據普華永道最近公布的一份報告,研究人員發現,大約9,700家被調查的公司中只有35%表示已經制定了IoT安全戰略。雖然許多公司正在擴大使用連接設備和傳感器,將收集和發送的操作數據或客戶數據回傳到數字商業工具來推動決策,但只有28%的公司表示已經開始實施額外的安全措施,來抵抗由IoT網絡帶來的日益增多的網絡攻擊。
嵌入式部件和IoT設備內置的大多數軟件都使用開源軟件組件。雖然這些組件的較新版本沒有安全漏洞,但OEM和開發人員往往會忽略使用這些較新版本或者沒有意識到它們的存在。此外,OEM和開發商為其IoT應用程序購買的第三方軟件是以二進制格式進行分發的,沒有源代碼,因此非常難以識別潛在的安全漏洞。
Insignary Clarity
Insignary Clarity可以主動掃描嵌入式固件或任何二進制文件、了解已知的可預防的安全漏洞,并確定潛在的許可證合規性問題。它使用獨特的指紋(fingerprinting)技術,可以在二進制級別上進行識別,無需源代碼或逆向工程。這使得OEM和開發人員在部署產品之前就可以采取適當的預防措施。
Insignary Clarity除了識別許可證合規性問題外,還能夠對嵌入式固件進行主動掃描,以了解已知的可預防的安全問題,以便于達到“默認安全(security by default)”。它可以增強對安全性和合規性團隊部署包含開源軟件的產品的信心。
雖然現在有些解決方案使用 checksum算法提供與已知二進制文件的精確匹配,但這僅適用于存在二進制組件的標準存儲庫的情況。在嵌入式Linux空間中,有許多可能來源于二進制組件的位置。另外,如果同一個文件的編譯過程略有不同,校驗和都將會更改。使用checksum掃描對Linux環境下的大多數二進制文件與已知二進制文件進行匹配是非常困難的。
Insignary不使用checksum進行掃描。它通過使用符號(symbol)和字符串(string table)比較的指紋識別算法來讀取固件中的二進制代碼。這保障了更準確的掃描過程和結果,也不需要做逆向工程。
定價和可用性
TruthIsIntheBinary.com現已可使用,對于未壓縮的小于5MB的二進制文件的掃描是完全免費的。如果用戶想要更詳細的報告版本,可以聯系Insignary了解完全許可版本的Insignary Clarity軟件或其基于云的解決方案。Insignary Clarity軟件或基于云的解決方案的定價可以通過聯系Insignary或訪問其網站www.insignary.com獲取。
關于Insignary,Inc.
風險投資企業Insignary有限公司成立于2016年,是二進制開源軟件安全和合規性的全球領導者。通過其Insignary Clarity和TruthIsIntheBinary.com軟件和基于云的解決方案,該公司能夠通過對二進制格式的掃描,發現和解決開源安全和許可證合規性問題。欲了解更多信息,請訪問www.insignary.com。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
