IoT固件安全检测,简称FSS,主要提供IoT设备固件的安全检测服务,检测设备固件的安全风险,如已知软件CVE漏洞,敏感信息等,并提供安全修复建议。
FSS针对IoT设备固件提供无侵入的安全检测服务,提前发现安全风险,提升IoT设备安全强度,降低厂商因固件漏洞导致的更新、回收以及OTA更新升级成本,提升各种IoT设备的基础安全水位。
应用场景
IoT固件安全检测典型应用场景如下:
1)安全开发流程(SDLC):IoT设备厂商可将FSS嵌入在安全开发流程中,在设备固件发布前上传设备固件,导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备固件。
2)设备固件升级:IoT设备厂商或OTA厂商上传设备固件升级包,固件检测服务检测并导出安全检测报告,然后根据安全检测报告的建议完成修复、更新设备升级包。
3)固件安全评估:安全检测机构或IT供应链管理人员将固件提交FSS,获取安全检测报告,根据检测结果评估固件的安全风险等级。
功能特性
FSS支持Linux、RTOS两大类固件,包括且不限于Yocto、OpenWrt、uClinux、Android、AliOS Things等,提供固件的安全检测、检测报告查看等功能。当前检测能力覆盖CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类型。详细的安全威胁检测能力如下:
分类 | 风险名称\操作系统 | 类Linux | RTOS(AOS) | 免费检测项 |
CVE漏洞 | 开源组件CVE漏洞检测 | 支持 | 支持 | 是 |
Linux发行版软件包漏洞 | 支持 | 是 | ||
配置风险 | 系统弱密码检测 | 支持 | 是 | |
非必要软件检测 | 支持 | |||
远程管理软件风险 | 支持 | |||
公开AOS Secret检测 | 支持 | 是 | ||
阿里云IoT-LV_SDK传输加密配置 | 支持 | 是 | ||
密钥安全 | 私钥安全检测 | 支持 | 支持 | |
证书安全检测 | 支持 | 支持 | ||
敏感信息泄露 | SVN信息泄露 | 支持 | 是 | |
Git信息泄露 | 支持 | 是 | ||
vi/vim信息泄露 | 支持 | 是 | ||
备份文件泄露 | 支持 | 是 | ||
临时文件泄露 | 支持 | 是 | ||
源代码泄露 | 支持 | 是 | ||
二进制文件中的信息泄露 | 支持 | 支持 | 是 | |
AOS Secret明文存储检测 | 支持 | 是 | ||
配置文件中敏感数据明文存储 | 支持 | 是 | ||
代码安全 | 不安全库函数使用检测 | 支持(上传单个Elf) | 支持 (上传单个Elf) | |
已被破解或有风险的加密算法 | 支持 |
使用说明
FSS支持阿里云主账号和子账号,提供三种方式进行固件的安全检测:
如果您在检测时提示没有可用的检测次数,可点击这里
准备工作
主账号访问
如果您还没有阿里云账号,请您先注册阿里云账号,如果没有完成实名认证,请您先进行个人实名认证。
在浏览器地址栏中输入
使用主账号下的AccessKeyId和AccessKeySecret访问FSS开放接口。
子账号访问
在浏览器地址栏中输入
并登录成功过后,访问IoT安全中心控制台:
为该子账号生成AccessKeyId和AccessKeySecret,然后使用生成的AccessKeyId和AccessKeySecret访问FSS开放接口。
通过FSS控制台开启检测
1,登录到IoT安全中心控制台。
2,单击“新建任务”,开始设置检测任务。
3,选择获取设备固件的方式:上传固件、固件地址。 说明上传固件:需要您选择要检测的固件文件进行上传。固件地址:您需要输入固件的URL(仅支持阿里云OSS地址),任务启动后会自动下载该固件并执行检测任务。
4,可选:设置任务名称。用于区别和标识不同的检测任务。
5,单击“开启检测”,确认固件信息,勾选”我已阅读,并确认以上声明“,单击”开始检测“。
查看检测报告
1,检测任务状态为“任务完成”,则可以查看检测报告。
2,单击“查看报告”,在线查看检测报告结果。
3,单击“下载报告”,下载检测报告结果到本地。
使用限制
固件大小不超过 1GB。
固件文件后缀名必须为 .zip, .bin, .elf, .hex, .rar, .img, .so, .tar, .gz, .tar.gz, .gzip中的一种。
在文档使用中是否遇到以下问题
更多建议
匿名提交