IoT固件安全檢測(簡稱FSS),主要提供IoT設備固件的安全檢測服務,檢測設備固件的安全風險,如已知軟件CVE漏洞、敏感信息等,并提供安全修復建議。FSS提升了IoT設備安全強度以及各種IoT設備的基礎安全水位,有效降低廠商因固件漏洞導致的更新、回收以及OTA版本升級。
準備工作
使用阿里云賬號下的AccessKey ID和AccessKey Secret訪問FSS開放接口。
為RAM用戶生成AccessKey ID和AccessKey Secret,使用生成的AccessKey ID和AccessKey Secret訪問FSS開放接口。具體操作,請參見阿里云RAM訪問控制和RAM鑒權。
使用說明
FSS支持阿里云賬號和RAM用戶,提供三種方式進行固件的安全檢測:
固件大小不超過1GB。
嵌入式Linux系統固件(如Yocto、OpenWrt、uClinux)和Android系統固件。
支持
.zip
、.rar
、.img
、.tar
、.gz
、.tar.gz
、.gzip
格式的固件文件。如果檢測時提示沒有可用的檢測次數,請申請檢測次數。
功能特點
FSS支持Linux、Android兩大類固件,支持嵌入式Linux系統固件(如Yocto、OpenWrt、uClinux)和Android系統固件。
FSS能識別CVE漏洞、配置風險、密鑰安全、敏感信息泄露、代碼安全5大類風險。如下表所示:
分類 | 風險名稱 |
CVE漏洞 | 開源組件CVE漏洞檢測 |
配置風險 | 系統弱密碼檢測 |
非必要軟件檢測 | |
遠程管理軟件風險 | |
阿里云IoT-LV_SDK傳輸加密配置 | |
密鑰安全 | 私鑰安全檢測 |
證書安全檢測 | |
敏感信息泄露 | SVN信息泄露 |
Git信息泄露 | |
vi/vim信息泄露 | |
備份文件泄露 | |
臨時文件泄露 | |
源代碼泄露 | |
配置文件中敏感數據明文存儲 | |
代碼安全 | 已被破解或有風險的加密算法 |
應用場景
安全開發流程(SDLC):IoT設備廠商可將FSS嵌入在安全開發流程中,在發布前上傳設備固件,導出安全檢測報告,根據安全檢測報告的建議完成修復、更新設備固件。
設備固件升級:IoT設備廠商或OTA廠商上傳設備固件升級包,固件檢測服務檢測并導出安全檢測報告,根據安全檢測報告的建議完成修復、更新設備升級包。
固件安全評估:安全檢測機構或IT供應鏈管理人員將固件提交FSS,獲取安全檢測報告,根據檢測結果評估固件的安全風險等級。
通過FSS控制臺開啟檢測
登錄產品控制臺。
在左側導航欄選擇資產 > 固件。
單擊創建檢測任務按鈕,配置相關參數并選擇獲取設備固件的方式。
上傳固件:需要您選擇要檢測的固件文件進行上傳。
固件地址:您需要輸入固件的URL(僅支持阿里云OSS地址),任務啟動后會自動下載該固件并執行檢測任務。
配置完成后,單擊開始檢測,確認固件信息,勾選我已閱讀,并確認以上聲明,單擊開始檢測。
查看檢測報告
當檢測任務狀態為任務完成,進入資產>固件頁面,單擊檢測報告,在線查看檢測報告結果。