文档

固件

更新时间:
一键部署

IoT固件安全检测(简称FSS),主要提供IoT设备固件的安全检测服务,检测设备固件的安全风险,如已知软件CVE漏洞、敏感信息等,并提供安全修复建议。FSS提升了IoT设备安全强度以及各种IoT设备的基础安全水位,有效降低厂商因固件漏洞导致的更新、回收以及OTA版本升级。

准备工作

使用说明

FSS支持阿里云账号和RAM用户,提供三种方式进行固件的安全检测:

  • FSS控制台

  • 开放接口,调用相关接口提交固件检测、获取检测报告。具体操作,请参见API概览

说明
  • 固件大小不超过1GB。

  • 嵌入式Linux系统固件(如Yocto、OpenWrt、uClinux)和Android系统固件。

  • 支持 .zip.rar.img.tar.gz.tar.gz.gzip格式的固件文件。

  • 如果检测时提示没有可用的检测次数,请申请检测次数

功能特点

FSS支持Linux、Android两大类固件,支持嵌入式Linux系统固件(如Yocto、OpenWrt、uClinux)和Android系统固件。

FSS能识别CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类风险。如下表所示:

分类

风险名称

CVE漏洞

开源组件CVE漏洞检测

配置风险

系统弱密码检测

非必要软件检测

远程管理软件风险

阿里云IoT-LV_SDK传输加密配置

密钥安全

私钥安全检测

证书安全检测

敏感信息泄露

SVN信息泄露

Git信息泄露

vi/vim信息泄露

备份文件泄露

临时文件泄露

源代码泄露

配置文件中敏感数据明文存储

代码安全

已被破解或有风险的加密算法

应用场景

  • 安全开发流程(SDLC):IoT设备厂商可将FSS嵌入在安全开发流程中,在发布前上传设备固件,导出安全检测报告,根据安全检测报告的建议完成修复、更新设备固件。

  • 设备固件升级:IoT设备厂商或OTA厂商上传设备固件升级包,固件检测服务检测并导出安全检测报告,根据安全检测报告的建议完成修复、更新设备升级包。

  • 固件安全评估:安全检测机构或IT供应链管理人员将固件提交FSS,获取安全检测报告,根据检测结果评估固件的安全风险等级。

通过FSS控制台开启检测

  1. 登录产品控制台

  2. 在左侧导航栏选择资产 > 固件

  3. 单击创建检测任务按钮,配置相关参数并选择获取设备固件的方式。

    • 上传固件:需要您选择要检测的固件文件进行上传。

    • 固件地址:您需要输入固件的URL(仅支持阿里云OSS地址),任务启动后会自动下载该固件并执行检测任务。

  4. 配置完成后,单击开始检测,确认固件信息,勾选我已阅读,并确认以上声明,单击开始检测

查看检测报告

当检测任务状态为任务完成,进入资产>固件页面,单击检测报告,在线查看检测报告结果。