IoT固件安全检测,简称FSS,主要提供IoT设备固件的安全检测服务,检测设备固件的安全风险,如已知软件CVE漏洞,敏感信息等,并提供安全修复建议。

FSS针对IoT设备固件提供无侵入的安全检测服务,提前发现安全风险,提升IoT设备安全强度,降低厂商因固件漏洞导致的更新、回收以及OTA更新升级成本,提升各种IoT设备的基础安全水位。

产品架构

用户提交固件到FSS,FSS自动化进行安全检测,检测完成后生成安全检测报告并发送通知邮件。FSS的架构如下图所示:

FSS架构图

FSS由三部分组成:FSS控制台、开放接口、安全检测核心服务。

1)FSS控制台

您可以用阿里云账号登录到FSS控制台,可以在FSS控制台中提交固件进行安全检测、查看检测报告、查看检测报告的分析、管理检测任务等操作。

2)开放接口

您可以使用FSS开放接口的方式进行固件安全检测、检测任务管理等。当前提供的接口包括创建检测任务、查询检测状态、查询检测报告、删除检测任务、查询用户授权信息等。

3)安全检测核心服务

负责固件的安全检测的后台服务,由固件识别、固件解压、检测引擎、知识库等组成。

应用场景

IoT固件安全检测典型应用场景如下:

1)安全开发流程(SDLC):IoT设备厂商可将FSS嵌入在安全开发流程中,在设备固件发布前上传设备固件,导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备固件。

2)设备固件升级:IoT设备厂商或OTA厂商上传设备固件升级包,固件检测服务检测并导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备升级包。

3)固件安全评估:安全检测机构或IT供应链管理人员将固件提交FSS,获取安全检测报告,根据检测结果评估固件的安全风险等级。 

说明 同时FSS支持私有化部署,如果您有私有化部署需求请联系我们