上海控安自研国内首款支持源码与二进制文件的漏洞扫描工具

2019-07-16 15:54

第三方代码的使用是企业能够快速高效建立新系统、新产品、新平台的关键因素，能大幅度缩短开发周期，减少人力和资金的投入。目前大部分第三方代码包含大量的开源代码，并且主要是以二进制代码或是源代码的方式开源。

软件的安全性一直受到IoT、汽车、医疗等领域的高度关注，大量对企业有灾难性影响的代码漏洞，不断在一些知名的开源软件中被发现。

例如，heratbleed事件是由于OpenSSL中存在着内存信息泄漏高危漏洞，利用该漏洞可窃取服务器内存(64KB)当前存储的用户数据；Venom事件是由于虚拟机逃逸漏洞，攻击者可以越过虚拟化技术限制，访问并监视控制宿主机，并通过宿主机的权限来访问其他虚拟机；还有类似Linux Ghost、Equifax等事件都对国内外企业甚至国家的数据安全产生严重影响。

上海控安与新加坡南洋理工大学团队联合研发工业软件成分分析工具SmartRocket Scanner，通过使用者所上传的二进制文件或是源代码的连接，检索其中所利用的开源文件，并与国内外数据库进行比对，检测文件中所存在的安全漏洞与许可证隐忧等问题，并提供相对应的信息与修复建议。

此款工具在C/C++等代码分析方面具有显著优势，是国内首款采用双引擎模式分析源代码与二进制文件的漏洞扫描工具，可支持C/C++在内的10多种主流编程语言。

特色功能

上海控安自研国内首款支持源码与二进制文件的漏洞扫描工具