Бесплатная служба безопасности сканирует исполняемые файлы Linux IoT с открытым исходным кодом

[Обновлено: 22 августа]. Компания Insignary представила TruthIsIntheBinary, бесплатную облачную версию своего программного обеспечения для сканирования двоичного кода Clarity, предназначенного для открытого кода IoT для Linux.

Обычно мы остерегаемся гениальных головокружений от программного обеспечения для обеспечения безопасности, но последнее предложение Insignary толкнуло все наши кнопки: Linux, бесплатный, с открытым исходным кодом и «бомба замедленного действия с безопасностью IoT». Мы также получили глупое имя, звучащее в оракуле: TruthIsIntheBinary ,

Может быть, нам должно быть страшно: эта проблема безопасности IoT на базе Linux становится серьезной.
Существует множество решений, начиная с поддержки обновления прошивки мобильных устройств через OTA, но не было сумасшедших попыток решить проблему безопасности в отношении встроенных устройств на базе Linux и устройств IoT.
Insignary из Кореи цитирует отчет PwC, в котором говорится, что только 35 процентов из примерно 9700 опрошенных компаний заявили, что у них есть стратегия безопасности IoT, и только 28 процентов заявили, что начали внедрять дополнительную безопасность, необходимую для защиты от риска кибератак, созданных IoT сети.


Распаковка и анализ файлов в Clarity.
Предположительно, основанный на Clarity TruthIsIntheBinary использует аналогичный подход.

(щелкните изображение, чтобы увеличить)

TruthIsIntheBinary предлагает сканирование безопасности, которое имеет несколько преимуществ перед большинством: оно бесплатное и нацелено непосредственно на проекты IoT с открытым исходным кодом Linux.
По словам Insignary, эта бесплатная облачная версия, основанная на программном обеспечении для сканирования двоичного кода Insignary Clarity, позволяет пользователям «быстро и легко» сканировать программное обеспечение с открытым исходным кодом, используемое во встроенных приложениях и устройствах IoT.
TruthIsIntheBinary может идентифицировать SambaCry, Devil's Ivy, Heartbleed, Ghost и Venom, среди более чем 91 000 известных уязвимостей безопасности, утверждает компания.

Разработчики могут загрузить на сайт практически любой несжатый двоичный файл, который весит менее 5 МБ, включая приложения для смартфонов.
В течение нескольких минут служба возвращает отчет, в котором указано количество потенциальных проблем безопасности и их уровень серьезности.
Пользователи, которым нужен более подробный отчет, могут подписаться на Clarity.

Поскольку мы далеки от того, чтобы быть экспертами в области безопасности, мы консультировались со специалистами по встроенному Linux и безопасности Биллом Вайнбергом, который в прошлом помогал нам в решении таких проблем, как войны с нетбуками .
Вайнберг, который недавно соучредил новую консалтинговую группу под названием Open Source Sense с Грегом Олсоном, сказал, что лежащее в основе программное обеспечение Clarity является инструментом двоичного анализа (BAT).
Как и многие другие пакеты BAT, Clarity, но, по-видимому, не TruthIsIntheBinary, может также определять общие проблемы соответствия в дополнение к проблемам безопасности.

Программное обеспечение также предлагает «уникальную технологию снятия отпечатков пальцев», которая использует «сравнение таблиц символов и строк», говорит Insignary.
Кроме того, он перекрестно ссылается на NVDB (Национальная база данных уязвимостей) и предлагает доступ к VulnDB .
Ясность можно считать типом платформы «компонентного анализа», несколько похожей на ту, которую предоставляют Black Duck , Flexera , Fossa , Fossid и WhiteSource .
Генеральный директор Insignary Махнджун Джанг был финансовым директором Black Duck Software.

Insignary утверждает, что TruthIsIntheBinary превосходит решения с контрольной суммой, что затрудняется тем фактом, что они полезны только в «ситуациях, когда существует стандартный репозиторий для бинарных компонентов». Другая проблема с контрольными суммами состоит в том, что они изменяются, если один и тот же файл был составлено даже немного по-другому », - говорится в сообщении компании.

Согласно Insignary, «стороннее программное обеспечение, которое приобретают производители и разработчики для своих приложений IoT, распространяется в двоичном формате без исходного кода, что делает чрезвычайно трудным выявление любых потенциальных уязвимостей безопасности».

Тем не менее, некоторые разработчики могут не чувствовать себя комфортно, загружая свое программное обеспечение в облако.
Обновление до Clarity позволяет вам выбрать облачное или локальное решение.

Дальнейшая информация

TruthIsIntheBinary предоставляется бесплатно для несжатых двоичных файлов, размер которых составляет менее 5 МБ.
Более подробную информацию можно найти на веб-сайте Insignary .