近年来,为了提高研发进度和生产效率,越来越多的程序引入第三方开源组件,很多单位将软件功能检测放在第一位,但针对软件的安全检测还未引起重视,尤其对第三方开源组件可能存在的漏洞等安全问题还未引起足够足够警示。很多企事业单位,对于自身软件引用了哪些第三方开源组件,哪些组件又存在哪些漏洞和风险,哪些风险会带来哪些不可控因素,漏洞安全以及影响到自身产品发布等因素并未做到提前布控和规避。从安全的角度来看,所有软件,无论是专有软件还是开放源代码,都有可能存在安全漏洞。如果少数开源漏洞(例如Apache Struts或OpenSSL曾被爆出的高危漏洞)被广泛利用,将对国家,人民财产以及公共安全带来极大不稳定因素。以2014年的OpenSSL曾被爆出的高危心脏出血漏洞举例说明,其攻击加密程序库OpenSSL,被广泛应用于互联网通信协议中。由此给各大电商网站,银行,证券,政府,研究机构,甚至包括个人财产等带来极大不安全因素。
经过科研人员的不懈努力,东方羲和推出翰飞(HFei)软件,旨在解决用户单位的组件分析及安全问题,测试第三方许可协议,有效监测安装程序存在的漏洞,且与国家漏洞库同步更新,拥有极佳的性价比,提前将危险扼杀在摇篮里,提前加上一道保险。
现代应用程序很大程度上依托于第三方开源代码。这是被广泛接受的资源节约开发惯例,其可以免去应用程序中的非核心功能开发任务。但开源软件不等于免费软件,使用不当,将面临侵权诉讼风险、负面宣传、增加开发和支持成本。每一个第三方开源组件均具有相关许可,这对用户自身的应用程序能否发布和有否被授权都会产生直接影响。在引用第三方开源组件时,同时也会把组件中的漏洞和恶意后门一同带入到系统中,第三方代码可能包含已知的漏洞,其最终会对用户的应用安全产生直接影响。业内分析人员指出,超过90%的IT企业使用开源软件来处理关键任务,而且某些应用程序的构成有90%是开源组件。尽管开源软件中的漏洞数量少于专有软件,但仅在2018年就发现了7,000多个开源漏洞。在过去的二十多年中,已经涌现出至少超过50,000个漏洞。根据Gartner统计,目前大多数企业研发项目中80%为开源框架和组件,开源软件中的漏洞每年以4000个以上的速度递增。
截至到目前为止,许多企事业单位并未正式管理开发人员对开放源代码的使用,很少有公司能够生成准确、最新的开放源代码组件、许可证、版本及补丁状态清单(也称为物料清单或BOM)。这导致企事业使自己和客户面临双重风险。
翰飞(HFei)对应用程序和固件进行扫描,专业分析包含的开源组件,并列出所含代码和库文件相关的软件许可及对应的已知漏洞。翰飞(HFei)不仅能揭示开源的和私有的第三方代码和库文件,还能够枚举出对应的CVE(Common Vulnerabilities and Exposures通用漏洞披露)标识符以及相关的软件许可证。将编译好的二进制文件上传(不需要源代码),仅需花费很短时间就可以揭示出你所需要的软件内部运行的信息。
翰飞(HFei)专业识别第三方开源代码以及其漏洞和许可,这对于预防程序被攻击至关重要。采用二级制扫描技术,翰飞提供下列主要功能:
• 识别第三方软件包和第三方库文件。
• 在被扫描的应用软件中,识别用于第三方代码的绑定软件许可。
• 找出可能对你的应用软件造成安全风险的第三方组件漏洞。
• 易于操作的界面:只需按下按钮,即可上传你的二级制文件。
• 方便快捷:上传二进制文件后,很短时间内给出测试结果。
上一篇:公司通过ISO9001认证
下一篇:没有了