VCode二进制安全分析工具

VCode 软件可识别软件映像（特别是第三方模块）中的安全漏洞，并对其进行优先级排序并缓解这些漏洞。

提供对产品安全状况和风险的可见性

· 突出开发人员的安全疏忽

· 自动查找数据疏忽

· 用作内部查看者和客户的产品安全记分卡

建议补救措施，包括上下文和优先级

· 特定于平台的说明

· 托管服务可缩短修复时间

生成报告和合规性验证摘要

· 关于安全级别和进度的管理报告

· 向客户演示的安全验证

· 符合行业标准的安全发现

· 通过检查表简化合规性验证

可以集成到持续集成/连续设计（CI / CD）管道中，或用于手动扫描图像二进制文件，只需简单的拖放操作

· 用于处理调查结果数据的命令行界面：将详细的结构化输出（监督的类型和位置）输送到缓解流程

· 与 CI/CD 系统轻松集成，以触发特定于结果类型的操作项

分析结果

弱密码

强密码是连接系统的重要第一道防线，包括远程访问，包括自动和手动。VCode 的扫描程序分析常见的密码定义并识别安全漏洞。

内核功能

此扫描指向内核配置选项，这些选项有助于防止某些类型的网络攻击或使其更加困难。您可以使用这些选项创建更安全的系统，从而减少操作系统内核的攻击面。

库中的 CVE

常见漏洞和披露是在固件映像上的软件库和应用程序中发现的公开披露的安全漏洞。此扫描程序搜索常见和流行库的易受攻击版本的使用情况。无文件内存中攻击基于漏洞，这些漏洞使攻击者能够映射和操纵二进制文件的运行时执行。

不安全的二进制文件

构建期间提供了各种编译器、链接器和操作系统安全功能，这些功能添加了运行时检查和保护机制，以减少内存中攻击面。此扫描程序突出显示了部分或全部这些功能的风险配置。

文件权限

Linux 操作系统具有区分用户和组的文件权限的权限模型。攻击者可能会修改或滥用配置了限制较少权限的文件，以更高的权限（例如，作为“root”）运行，并修改系统配置。扫描程序识别配置了少于建议的限制标志的文件。例如，它会精确定位没有 SUID 标志的应用程序，这将阻止攻击者以更高的权限运行它们。

软件物料清单 （SBOM）

VCode 的一个重要部分是 SBOM——这是符合 UN R155 等网络安全标准所必需的。此工具提供有关文件系统和映像中每个组件的详细信息，包括第三方软件：位置、CVE 计数、CVE 的最高严重性、依赖项以及（如果可用）库版本号和关联的许可证类型。易于使用的过滤机制允许研究数据并确定可操作的见解。

支持的格式

· VCode 可以扫描

  · 由Yocto等构建系统提供的软件映像

  · 准备烧录到特定设备上的固件映像（包括 ova/vmdk 映像和 MBR 磁盘映像）

  · Linux内核配置

  · 单个文件（可执行文件，库，jar，apk）

· 支持的文件系统包括 cpio、ext4、jffs2、squashfs 和 vfat。

· 归档文件支持包括 bz2、gz、tar、xz 和 zip，包括嵌套的 initrd/initramfs。

· 操作系统支持：Linux，Android（稀疏，有效载荷.bin，super.img，boot.img），QNX，FreeRTOS和AUTOSAR。