全部产品

固件安全检测

更新时间:2021-02-09 11:20

IoT固件安全检测,简称FSS,主要提供IoT设备固件的安全检测服务,检测设备固件的安全风险,如已知软件CVE漏洞,敏感信息等,并提供安全修复建议。

FSS针对IoT设备固件提供无侵入的安全检测服务,提前发现安全风险,提升IoT设备安全强度,降低厂商因固件漏洞导致的更新、回收以及OTA更新升级成本,提升各种IoT设备的基础安全水位。

image.png

应用场景

IoT固件安全检测典型应用场景如下:

1)安全开发流程(SDLC):IoT设备厂商可将FSS嵌入在安全开发流程中,在设备固件发布前上传设备固件,导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备固件。

2)设备固件升级:IoT设备厂商或OTA厂商上传设备固件升级包,固件检测服务检测并导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备升级包。

3)固件安全评估:安全检测机构或IT供应链管理人员将固件提交FSS,获取安全检测报告,根据检测结果评估固件的安全风险等级。

功能特性

支持Linux、RTOS两大类固件,包括且不限于Yocto、OpenWrt、uClinux、Android、AliOS Things等。

支持18种安全风险检测,覆盖已知的CVE漏洞、密钥安全、配置风险、信息泄露、代码安全等维度的风险检测。详细的安全威胁检测能力如下:

分类

风险名称\操作系统

类Linux

RTOS(AOS)

CVE漏洞

开源组件CVE漏洞检测

支持

支持

Linux发行版软件包漏洞

支持

配置风险

系统弱密码检测

支持

非必要软件检测

支持

自启动服务风险检测

支持

公开AOS Secret检测

支持

密钥安全

私钥安全检测

支持

支持

证书安全检测

支持

支持

敏感信息泄露

SVN信息泄露

支持

Git信息泄露

支持

vi/vim信息泄露

支持

备份文件泄露

支持

临时文件泄露

支持

源代码泄露

支持

二进制文件中的信息泄露

支持

支持

AOS Secret明文存储检测

支持

代码安全

不安全库函数使用检测

支持(上传单个Elf)

支持 (上传单个Elf)

使用说明

FSS支持阿里云主账号和子账号,提供三种方式进行固件的安全检测:

说明 如果您在检测时提示没有可用的检测次数,可点击这里

1,准备工作

主账号访问

如果您还没有阿里云账号,请您先注册阿里云账号,如果没有完成实名认证,请您先进行个人实名认证

  • 在浏览器地址栏中输入https://fss.iot.aliyun.com

  • 使用主账号下的AccessKeyId和AccessKeySecret访问FSS开放接口。

子账号访问

请先在阿里云RAM访问控制RAM鉴权

  • 在浏览器地址栏中输入https://signin.aliyun.com并登录成功过后,访问FSS控制台:https://fss.iot.aliyun.com

  • 为该子账号生成AccessKeyId和AccessKeySecret,然后使用生成的AccessKeyId和AccessKeySecret访问FSS开放接口。

2,通过FSS控制台开启检测

1,登录到IoT固件安全检测控制台

2,单击“新建任务”,开始设置检测任务。

3,选择获取设备固件的方式:上传固件、固件地址。说明 上传固件:需要您选择要检测的固件文件进行上传。固件地址:您需要输入固件的URL(仅支持阿里云OSS地址),任务启动后会自动下载该固件并执行检测任务。

4,可选:设置任务名称。用于区别和标识不同的检测任务。

5,单击“开启检测”,确认固件信息,勾选”我已阅读,并确认以上声明“,单击”开始检测“。

3,查看检测报告

  • 检测任务状态为“任务完成”,则可以查看检测报告。

  • 单击“查看报告”,在线查看检测报告结果。

  • 单击“下载报告”,下载检测报告结果到本地。

说明 如果您需要更多的IoT安全检测服务、IoT安全专家服务,请联系我们

使用限制

  • 固件大小不超过 1GB。

  • 固件文件后缀名必须为 .zip, .bin, .elf, .hex, .rar, .img, .so, .tar, .gz, .tar.gz, .gzip中的一种。