来自 应用 2021-12-14 05:24 的文章

云盾_网址防红_秒解封

云盾_网址防红_秒解封

简介:根据VDC的研究,45%的嵌入式项目是外包产品开发。外包、开源、商业软件(COTS)、遗留源代码和二进制代码的使用每年都在增加(例如,VDC声称,到2017年,嵌入式Linux将成为嵌入式操作系统的首选,占所有嵌入式产品的64.7%)。在嵌入式开发中依赖第三方软件并使用质量和安全性未知的软件是有风险的,在形成物联网和机器对机器(M2M)产品之前需要更多的审查。源代码和二进制文件的静态分析是评估第三方代码所需的工具集的重要部分。更多:用二进制分析消除第三方代码中的漏洞外包代码开发驱动自动化测试工具市场物联网设备安全保障四步指南再利用是好的重新发明车轮从来没有产生过成效。购买与构建通常更倾向于重用,无论是通过开源还是COTS解决方案。项目很少是新开发,因此遗留代码和重用其他公司资产是现实的。第三方代码的一些最常见用途包括:通信-使应用程序能够通过互联网或与其他应用程序进行无线通信。数据库-第三方软件广泛用于管理、优化、监视和备份数据库。标准库-通常包括常用算法、数据结构和输入输出机制的定义。开发人员已经习惯了其中的一些,以至于他们忘记了库不是语言本身的一部分有了重用的回报,代码中就有隐藏安全漏洞的风险。不管你的货源来自哪里,你的最终客户都要让你的公司对产品负责!评估现有源代码和二进制文件(库、对象文件、可执行文件和动态链接库)的质量和安全性是静态分析工具的一项特殊优势评估第三方代码您收到的代码可以有各种形式:未编译的源代码、部分源代码和二进制文件,或仅二进制文件。鉴于此,需要工具来处理每种类型的情况:源代码分析当完整的源代码可用时,在使用静态分析工具(如GrammaTech CodeSonar)集成到产品之前进行安全评估是有保证的。如果代码是"未知谱系(出处)"或汤,如众所周知的,调查质量和安全错误是至关重要的。在许多情况下,服务器cc攻击怎么防御,在初始评估和修复之后,这个获得的源可以集成到连续的构建/分析周期中。二进制代码分析如果预编译库或可执行文件是第三方代码的唯一形式,则仍有可能评估软件。CodeSonar的二进制分析技术可以评估二进制代码的质量和安全漏洞。尽管调查和解决这些问题的可能性通常是有限的,但它确实为代码的质量和安全性提供了一个风向标。COTS产品的客户可以回到供应商的技术支持部门,要求对发现的漏洞进行确认和分析。这里的关键在于,在代码被用于最终产品之前,要检测并计算潜在的漏洞。有关使用二进制分析消除安全漏洞的更多详细信息,请参阅本白皮书。二进制和信源混合分析当二进制分析与源代码分析混合使用时,它真的很耀眼。与二进制分析相比,源静态分析包含更多有关软件意图和设计的信息。但是,无论何时调用外部库,包括标准C/C++库,静态分析都不能判断函数的使用是否正确(当然,对于已知的函数,如StrucYe()),假设。通过结合源代码和二进制分析,可以进行更完整的分析。例如,如果外部函数使用指向缓冲区的指针,并且错误使用参数可能导致缓冲区溢出,百度cdn如何防御ddos,防御cc,则混合静态分析可以检测到该问题物联网的供应链风险管理产品开发的增长速度和数百万不安全设备的潜在扩散严重威胁着物联网在市场上的成功。重视安全的公司需要管理其供应链中的安全风险,包括软件(COTS和FOSS)。静态分析为提高第三方软件的质量和安全性提供了一种易于采用和有效的方法。 这是一系列博客中的第四个也是最后一个,这些博客详细介绍了这四个步骤。结论:物联网的成功在某种程度上取决于代表设备制造商的智能构建与购买决策。然而,linuxddos攻击防御,引入外部源代码和二进制代码有其风险,便宜的ddos防御,正确评估该软件至关重要。静态源代码和二进制分析单独使用和一起使用提供了一种评估第三方代码的实用方法。为了充分利用软件重用的好处,让所有代码保持相同的高质量和安全标准是有意义的。