零成本二進制掃描，無效化IoT安適按時炸彈

開源軟件是大多數嵌入式零件和IoT設備的基礎，該辦事由Insignary Clarity?提供支持，它能滿足OEM、開發(fā)人員和用戶對開源軟件進行二進制安適掃描。

2017 年 8 月 9 日 – Insignary,二進制級別開源軟件安適和合規(guī)的全球領導者，今天發(fā)布了其免費的開源軟件二進制代碼掃描辦事TruthIsIntheBinary.com。由Insignary Clarity?二進制代碼掃描軟件提供支持的TruthIsIntheBinary.com，能夠使OEM、開發(fā)人員和用戶快速輕松地掃描其嵌入式應用程序和IoT設備中的開源軟件。TruthIsIntheBinary.com能在91, 000 多個已知的安適漏洞中識別SambaCry，Devil's Ivy，Heartbleed，Ghost以及Venom、使這些業(yè)內專家看作是IoT安適的“按時炸彈”無效化。

TruthIsIntheBinary.com使用非常容易。OEM和開發(fā)人員將未壓縮的二進制文件上傳到該站點，該站點支持掃描能在99％的現有計算平臺上運行的任何可執(zhí)行文件，包孕從應用商店下載的智能手機應用程序。該辦事將在短短的幾分鐘內掃描該文件，而后用戶將收到掃描文件的陳訴，該陳訴包孕潛在的安適問題數量及其嚴重程度。OEM和開發(fā)人員可以利用這些信息去發(fā)現安適漏洞，從而通過補丁或更新軟件版原來解決問題。

“IoT技術領域的創(chuàng)新由開源軟件支持著。我們將持續(xù)看到依賴于諸如Linux項目等的嵌入式零件和IoT設備及辦事的大規(guī)模擴張，它們將幫手人們提高業(yè)務效率并改善人們的生活。Insignary公司首席執(zhí)行官TJ（Taejin）Kang體現，“不幸的是除非原始設備制造商和開發(fā)商可以有效地確保他們銷售的IoT設備，不然主要的的企業(yè)和社區(qū)基礎設施都將很容易受到攻擊。我們免費的TruthIsIntheBinary.com辦事是由我們的Clarity軟件提供支持的，它能使OEM和開發(fā)人員能夠在二進制級別發(fā)現安適威脅。當他們了解到這個辦事的效率性時，在某些時候他們可能會考慮使用我們的全功能版本的Clarity，在那里他們將能得到一個更為詳細的陳訴。我們正在并將繼續(xù)提供支持開源社區(qū)的產品和辦事?！?/p>

Gartner公司估計，相較于本年的 84 億，到 2020 年，全球將有 204 億個物聯網組件。按照 2017 年波士頓咨詢集團的陳訴，到 2020 年，物聯網產品和辦事市場預計將達到2, 670 億美元。該陳訴還預測，到 2020 年，物聯網支出的50％將會用在離散制造，運輸和物流及公用事業(yè)領域，這些領域都是企業(yè)和社區(qū)基礎設施的關鍵領域。

安適漏洞

據普華永道比來公布的一份陳訴，研究人員發(fā)現，大約9, 700 家被調查的公司中只有35％體現已經制定了IoT安適戰(zhàn)略。雖然許多公司正在擴大使用連接設備和傳感器，將收集和發(fā)送的操作數據或客戶數據回傳到數字商業(yè)工具來鞭策決策，但只有28％的公司體現已經開始實施額外的安適辦法，來抵抗由IoT網絡帶來的日益增多的網絡攻擊。

嵌入式部件和IoT設備內置的大多數軟件都使用開源軟件組件。雖然這些組件的較新版本沒有安適漏洞，但OEM和開發(fā)人員往往會忽略使用這些較新版本或者沒有意識到它們的存在。此外，OEM和開發(fā)商為其IoT應用程序購買的第三方軟件是以二進制格式進行分發(fā)的，沒有源代碼，因此非常難以識別潛在的安適漏洞。

Insignary Clarity

Insignary Clarity可以主動掃描嵌入式固件或任何二進制文件、了解已知的可預防的安適漏洞，并確定潛在的許可證合規(guī)性問題。它使用獨特的指紋（fingerprinting）技術，可以在二進制級別上進行識別，無需源代碼或逆向工程。這使得OEM和開發(fā)人員在安排產品之前就可以采取適當的預防辦法。

Insignary Clarity除了識別許可證合規(guī)性問題外，還能夠對嵌入式固件進行主動掃描，以了解已知的可預防的安適問題，以便于達到“默認安適（security by default）”。它可以增強對安適性和合規(guī)性團隊安排包羅開源軟件的產品的信心。

雖然現在有些解決方案使用 checksum算法提供與已知二進制文件的精確匹配，但這僅適用于存在二進制組件的尺度存儲庫的情況。在嵌入式Linux空間中，有許多可能來源于二進制組件的位置。別的，如果同一個文件的編譯過程略有差別，校驗和都將會更改。使用checksum掃描對Linux環(huán)境下的大多數二進制文件與已知二進制文件進行匹配是非常困難的。

Insignary不使用checksum進行掃描。它通過使用符號（symbol）和字符串（string table）比較的指紋識別算法來讀取固件中的二進制代碼。這保障了更準確的掃描過程和結果，也不需要做逆向工程。

定價和可用性

TruthIsIntheBinary.com現已可使用，對于未壓縮的小于5MB的二進制文件的掃描是完全免費的。如果用戶想要更詳細的陳訴版本，可以聯系Insignary了解完全許可版本的Insignary Clarity軟件或其基于云的解決方案。Insignary Clarity軟件或基于云的解決方案的定價可以通過聯系Insignary或拜候其網站獲取。

關于Insignary，Inc.