2017-08-09 16:23
摘要:开源软件是大多数嵌入式零件和IoT设备的基础,该服务由Insignary Clarity™提供支持,它能满足OEM、开发人员和用户对开源软件进行二进制安全扫描。
开源软件是大多数嵌入式零件和IoT设备的基础,该服务由Insignary Clarity™提供支持,它能满足OEM、开发人员和用户对开源软件进行二进制安全扫描。
2017年8月9日 – Insignary,二进制级别开源软件安全和合规的全球领导者,今天发布了其免费的开源软件二进制代码扫描服务TruthIsIntheBinary.com。由Insignary Clarity™二进制代码扫描软件提供支持的TruthIsIntheBinary.com,能够使OEM、开发人员和用户快速轻松地扫描其嵌入式应用程序和IoT设备中的开源软件。TruthIsIntheBinary.com能在91,000多个已知的安全漏洞中识别SambaCry,Devil's Ivy,Heartbleed,Ghost以及Venom、使这些业内专家看作是IoT安全的“定时炸弹”无效化。
TruthIsIntheBinary.com使用非常容易。OEM和开发人员将未压缩的二进制文件上传到该站点,该站点支持扫描能在99%的现有计算平台上运行的任何可执行文件,包括从应用商店下载的智能手机应用程序。该服务将在短短的几分钟内扫描该文件,而后用户将收到扫描文件的报告,该报告包括潜在的安全问题数量及其严重程度。OEM和开发人员可以利用这些信息去发现安全漏洞,从而通过补丁或更新软件版本来解决问题。
“IoT技术领域的创新由开源软件支持着。我们将持续看到依赖于诸如Linux项目等的嵌入式零件和IoT设备及服务的大规模扩张,它们将帮助人们提高业务效率并改善人们的生活。Insignary公司首席执行官TJ(Taejin)Kang表示,“不幸的是除非原始设备制造商和开发商可以有效地确保他们销售的IoT设备,否则主要的的企业和社区基础设施都将很容易受到攻击。我们免费的TruthIsIntheBinary.com服务是由我们的Clarity软件提供支持的,它能使OEM和开发人员能够在二进制级别发现安全威胁。当他们了解到这个服务的效率性时,在某些时候他们可能会考虑使用我们的全功能版本的Clarity,在那里他们将能得到一个更为详细的报告。我们正在并将继续提供支持开源社区的产品和服务。”
Gartner公司估计,相较于今年的84亿,到2020年,全球将有204亿个物联网组件。根据2017年波士顿咨询集团的报告,到2020年,物联网产品和服务市场预计将达到2,670亿美元。该报告还预测,到2020年,物联网支出的50%将会用在离散制造,运输和物流及公用事业领域,这些领域都是企业和社区基础设施的关键领域。
安全漏洞
据普华永道最近公布的一份报告,研究人员发现,大约9,700家被调查的公司中只有35%表示已经制定了IoT安全战略。虽然许多公司正在扩大使用连接设备和传感器,将收集和发送的操作数据或客户数据回传到数字商业工具来推动决策,但只有28%的公司表示已经开始实施额外的安全措施,来抵抗由IoT网络带来的日益增多的网络攻击。
嵌入式部件和IoT设备内置的大多数软件都使用开源软件组件。虽然这些组件的较新版本没有安全漏洞,但OEM和开发人员往往会忽略使用这些较新版本或者没有意识到它们的存在。此外,OEM和开发商为其IoT应用程序购买的第三方软件是以二进制格式进行分发的,没有源代码,因此非常难以识别潜在的安全漏洞。
Insignary Clarity
Insignary Clarity可以主动扫描嵌入式固件或任何二进制文件、了解已知的可预防的安全漏洞,并确定潜在的许可证合规性问题。它使用独特的指纹(fingerprinting)技术,可以在二进制级别上进行识别,无需源代码或逆向工程。这使得OEM和开发人员在部署产品之前就可以采取适当的预防措施。
Insignary Clarity除了识别许可证合规性问题外,还能够对嵌入式固件进行主动扫描,以了解已知的可预防的安全问题,以便于达到“默认安全(security by default)”。它可以增强对安全性和合规性团队部署包含开源软件的产品的信心。
虽然现在有些解决方案使用 checksum算法提供与已知二进制文件的精确匹配,但这仅适用于存在二进制组件的标准存储库的情况。在嵌入式Linux空间中,有许多可能来源于二进制组件的位置。另外,如果同一个文件的编译过程略有不同,校验和都将会更改。使用checksum扫描对Linux环境下的大多数二进制文件与已知二进制文件进行匹配是非常困难的。
Insignary不使用checksum进行扫描。它通过使用符号(symbol)和字符串(string table)比较的指纹识别算法来读取固件中的二进制代码。这保障了更准确的扫描过程和结果,也不需要做逆向工程。
定价和可用性
TruthIsIntheBinary.com现已可使用,对于未压缩的小于5MB的二进制文件的扫描是完全免费的。如果用户想要更详细的报告版本,可以联系Insignary了解完全许可版本的Insignary Clarity软件或其基于云的解决方案。Insignary Clarity软件或基于云的解决方案的定价可以通过联系Insignary或访问其网站www.insignary.com获取。
关于Insignary,Inc.
风险投资企业Insignary有限公司成立于2016年,是二进制开源软件安全和合规性的全球领导者。通过其Insignary Clarity和TruthIsIntheBinary.com软件和基于云的解决方案,该公司能够通过对二进制格式的扫描,发现和解决开源安全和许可证合规性问题。欲了解更多信息,请访问www.insignary.com。
###
Insignary,Insignary Clarity以及TruthIsIntheBinary是Insignary,Inc.的商标和服务标记。所有其他品牌,商标或服务标记均为其各自所有者所有。