開源軟件是大多數(shù)嵌入式零件和IoT設(shè)備的基礎(chǔ)，該服務(wù)由Insignary Clarity™提供支持，它能滿足OEM、開發(fā)人員和用戶對開源軟件進(jìn)行二進(jìn)制安全掃描。

　　2017年8月9日 – Insignary,二進(jìn)制級別開源軟件安全和合規(guī)的全球領(lǐng)導(dǎo)者，今天發(fā)布了其免費(fèi)的開源軟件二進(jìn)制代碼掃描服務(wù)TruthIsIntheBinary.com。由Insignary Clarity™二進(jìn)制代碼掃描軟件提供支持的TruthIsIntheBinary.com，能夠使OEM、開發(fā)人員和用戶快速輕松地掃描其嵌入式應(yīng)用程序和IoT設(shè)備中的開源軟件。TruthIsIntheBinary.com能在91,000多個已知的安全漏洞中識別SambaCry，Devil’s Ivy，Heartbleed，Ghost以及Venom、使這些業(yè)內(nèi)專家看作是IoT安全的“定時炸彈”無效化。

　　TruthIsIntheBinary.com使用非常容易。OEM和開發(fā)人員將未壓縮的二進(jìn)制文件上傳到該站點(diǎn)，該站點(diǎn)支持掃描能在99%的現(xiàn)有計算平臺上運(yùn)行的任何可執(zhí)行文件，包括從應(yīng)用商店下載的智能手機(jī)應(yīng)用程序。該服務(wù)將在短短的幾分鐘內(nèi)掃描該文件，而后用戶將收到掃描文件的報告，該報告包括潛在的安全問題數(shù)量及其嚴(yán)重程度。OEM和開發(fā)人員可以利用這些信息去發(fā)現(xiàn)安全漏洞，從而通過補(bǔ)丁或更新軟件版本來解決問題。

　　“IoT技術(shù)領(lǐng)域的創(chuàng)新由開源軟件支持著。我們將持續(xù)看到依賴于諸如Linux項(xiàng)目等的嵌入式零件和IoT設(shè)備及服務(wù)的大規(guī)模擴(kuò)張，它們將幫助人們提高業(yè)務(wù)效率并改善人們的生活。Insignary公司首席執(zhí)行官TJ(Taejin)Kang表示，“不幸的是除非原始設(shè)備制造商和開發(fā)商可以有效地確保他們銷售的IoT設(shè)備，否則主要的的企業(yè)和社區(qū)基礎(chǔ)設(shè)施都將很容易受到攻擊。我們免費(fèi)的TruthIsIntheBinary.com服務(wù)是由我們的Clarity軟件提供支持的，它能使OEM和開發(fā)人員能夠在二進(jìn)制級別發(fā)現(xiàn)安全威脅。當(dāng)他們了解到這個服務(wù)的效率性時，在某些時候他們可能會考慮使用我們的全功能版本的Clarity，在那里他們將能得到一個更為詳細(xì)的報告。我們正在并將繼續(xù)提供支持開源社區(qū)的產(chǎn)品和服務(wù)。”

　　Gartner公司估計，相較于今年的84億，到2020年，全球?qū)⒂?04億個物聯(lián)網(wǎng)組件。根據(jù)2017年波士頓咨詢集團(tuán)的報告，到2020年，物聯(lián)網(wǎng)產(chǎn)品和服務(wù)市場預(yù)計將達(dá)到2,670億美元。該報告還預(yù)測，到2020年，物聯(lián)網(wǎng)支出的50%將會用在離散制造，運(yùn)輸和物流及公用事業(yè)領(lǐng)域，這些領(lǐng)域都是企業(yè)和社區(qū)基礎(chǔ)設(shè)施的關(guān)鍵領(lǐng)域。

　　安全漏洞

　　據(jù)普華永道最近公布的一份報告，研究人員發(fā)現(xiàn)，大約9,700家被調(diào)查的公司中只有35%表示已經(jīng)制定了IoT安全戰(zhàn)略。雖然許多公司正在擴(kuò)大使用連接設(shè)備和傳感器，將收集和發(fā)送的操作數(shù)據(jù)或客戶數(shù)據(jù)回傳到數(shù)字商業(yè)工具來推動決策，但只有28%的公司表示已經(jīng)開始實(shí)施額外的安全措施，來抵抗由IoT網(wǎng)絡(luò)帶來的日益增多的網(wǎng)絡(luò)攻擊。

　　嵌入式部件和IoT設(shè)備內(nèi)置的大多數(shù)軟件都使用開源軟件組件。雖然這些組件的較新版本沒有安全漏洞，但OEM和開發(fā)人員往往會忽略使用這些較新版本或者沒有意識到它們的存在。此外，OEM和開發(fā)商為其IoT應(yīng)用程序購買的第三方軟件是以二進(jìn)制格式進(jìn)行分發(fā)的，沒有源代碼，因此非常難以識別潛在的安全漏洞。

　　Insignary Clarity

　　Insignary Clarity可以主動掃描嵌入式固件或任何二進(jìn)制文件、了解已知的可預(yù)防的安全漏洞，并確定潛在的許可證合規(guī)性問題。它使用獨(dú)特的指紋(fingerprinting)技術(shù)，可以在二進(jìn)制級別上進(jìn)行識別，無需源代碼或逆向工程。這使得OEM和開發(fā)人員在部署產(chǎn)品之前就可以采取適當(dāng)?shù)念A(yù)防措施。

　　Insignary Clarity除了識別許可證合規(guī)性問題外，還能夠?qū)η度胧焦碳M(jìn)行主動掃描，以了解已知的可預(yù)防的安全問題，以便于達(dá)到“默認(rèn)安全(security by default)”。它可以增強(qiáng)對安全性和合規(guī)性團(tuán)隊(duì)部署包含開源軟件的產(chǎn)品的信心。

　　雖然現(xiàn)在有些解決方案使用 checksum算法提供與已知二進(jìn)制文件的精確匹配，但這僅適用于存在二進(jìn)制組件的標(biāo)準(zhǔn)存儲庫的情況。在嵌入式Linux空間中，有許多可能來源于二進(jìn)制組件的位置。另外，如果同一個文件的編譯過程略有不同，校驗(yàn)和都將會更改。使用checksum掃描對Linux環(huán)境下的大多數(shù)二進(jìn)制文件與已知二進(jìn)制文件進(jìn)行匹配是非常困難的。

　　Insignary不使用checksum進(jìn)行掃描。它通過使用符號(symbol)和字符串(string table)比較的指紋識別算法來讀取固件中的二進(jìn)制代碼。這保障了更準(zhǔn)確的掃描過程和結(jié)果，也不需要做逆向工程。

　　定價和可用性

　　TruthIsIntheBinary.com現(xiàn)已可使用，對于未壓縮的小于5MB的二進(jìn)制文件的掃描是完全免費(fèi)的。如果用戶想要更詳細(xì)的報告版本，可以聯(lián)系Insignary了解完全許可版本的Insignary Clarity軟件或其基于云的解決方案。Insignary Clarity軟件或基于云的解決方案的定價可以通過聯(lián)系Insignary或訪問其網(wǎng)站www.insignary.com獲取。

　　關(guān)于Insignary，Inc.

　　風(fēng)險投資企業(yè)Insignary有限公司成立于2016年，是二進(jìn)制開源軟件安全和合規(guī)性的全球領(lǐng)導(dǎo)者。通過其Insignary Clarity和TruthIsIntheBinary.com軟件和基于云的解決方案，該公司能夠通過對二進(jìn)制格式的掃描，發(fā)現(xiàn)和解決開源安全和許可證合規(guī)性問題。欲了解更多信息，請?jiān)L問www.insignary.com。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。