?二進(jìn)制漏洞掃描支持的編程語(yǔ)言類型：C/C++/Java/Go/JavaScript/Python。

二進(jìn)制漏洞掃描支持的文件：.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件，及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

二進(jìn)制漏洞掃描支持上傳的文件大?。翰怀^(guò)5GB。

二進(jìn)制漏洞掃描平均掃描時(shí)間預(yù)估：根據(jù)不同的壓縮格式或者文件類型掃描時(shí)長(zhǎng)會(huì)有一定的差異，平均100MB/6min。

二進(jìn)制漏洞掃描服務(wù)采用基于軟件版本的方式檢測(cè)漏洞，不支持補(bǔ)丁修復(fù)漏洞場(chǎng)景的檢測(cè)。

對(duì)用戶提供的軟件包/固件進(jìn)行全面分析，通過(guò)解壓獲取包中所有待分析文件，基于組件特征識(shí)別技術(shù)以及各種風(fēng)險(xiǎn)檢測(cè)規(guī)則，獲得相關(guān)被測(cè)對(duì)象的組件BOM清單和潛在風(fēng)險(xiǎn)清單。主要包括以下幾類：

-開(kāi)源軟件風(fēng)險(xiǎn)：檢測(cè)包中的開(kāi)源軟件風(fēng)險(xiǎn)，如已知漏洞、License合規(guī)等。

-安全配置風(fēng)險(xiǎn)：檢測(cè)包中配置類風(fēng)險(xiǎn)，如硬編碼憑證、敏感文件（如密鑰、證書、調(diào)試工具等）問(wèn)題、OS認(rèn)證和訪問(wèn)控制類問(wèn)題等。

-信息泄露風(fēng)險(xiǎn)：檢測(cè)包中信息泄露風(fēng)險(xiǎn)，如IP泄露、硬編碼密鑰、弱口令、 GIT/SVN倉(cāng)泄露等風(fēng)險(xiǎn)。圖1 風(fēng)險(xiǎn)項(xiàng)

二進(jìn)制成分分析漏洞掃描基于靜態(tài)風(fēng)險(xiǎn)檢測(cè)，會(huì)對(duì)用戶上傳的軟件包/固件進(jìn)行解壓并分析其中的文件，識(shí)別包中文件包含的開(kāi)源軟件清單，并分析是否存在已知漏洞、License合規(guī)等風(fēng)險(xiǎn)。用戶掃描完成后，建議按照以下步驟進(jìn)行分析排查：

1. 開(kāi)源軟件分析，分析開(kāi)源軟件是否存在以及軟件版本是否準(zhǔn)確。
2. 基于報(bào)告詳情頁(yè)面或?qū)С龅膱?bào)告中開(kāi)源軟件所在文件全路徑找到對(duì)應(yīng)文件，然后分析該文件中開(kāi)源軟件是否存在或準(zhǔn)確（可由相關(guān)文件的開(kāi)發(fā)或提供人員協(xié)助分析），如果否，則無(wú)需后續(xù)分析。
3. 
4. 已知漏洞掃描分析，分析已知漏洞是否準(zhǔn)確。
5. 通過(guò)NVD、CVE、CNVD等社區(qū)搜索相關(guān)CVE已知漏洞編號(hào)，獲取漏洞掃描詳情
6. 概要分析：查看影響的軟件范圍，如CVE-2021-3711在NVD社區(qū)中的Known Affected Software Configurations，如下圖，確認(rèn)漏洞是否影響當(dāng)前使用的軟件版本，如果當(dāng)前使用的軟件版本不在影響范圍內(nèi)，則初步說(shuō)明漏洞可能不涉及/影響。
7. 
8. 精細(xì)化分析：漏洞通常存在于某些函數(shù)中，可以通過(guò)社區(qū)中的漏洞修復(fù)補(bǔ)丁確認(rèn)漏洞詳情、涉及函數(shù)以及修復(fù)方式，如下圖，用戶可以結(jié)合自身軟件對(duì)于相關(guān)開(kāi)源軟件功能的使用是否涉及相關(guān)漏洞
9. 
10. License合規(guī)分析?；趫?bào)告中開(kāi)源軟件及對(duì)應(yīng)的License分析軟件是否合規(guī)，滿足公司或準(zhǔn)入要求。
11. 風(fēng)險(xiǎn)解決方式：
12. 已知漏洞：如果當(dāng)前使用的軟件版本存在漏洞，可通過(guò)升級(jí)軟件版本至社區(qū)推薦版本解決。緊急情況下也可以通過(guò)社區(qū)推薦的patch修復(fù)方式臨時(shí)解決。
13. License合規(guī)：如果使用的軟件存在合規(guī)風(fēng)險(xiǎn)，則需要尋找相似功能且合規(guī)的開(kāi)源軟件進(jìn)行替代。

1.二進(jìn)制成分分析漏洞掃描會(huì)檢測(cè)用戶包中一些安全配置項(xiàng)是否合規(guī)，主要如下：

-用戶上傳的軟件包/固件中存在的敏感文件，如（密鑰文件，證書文件，源碼文件, 調(diào)試工具等）。

-用戶上傳的軟件包/固件中操作系統(tǒng)中的用戶與組配置、硬編碼憑證、認(rèn)證和訪問(wèn)控制等配置類問(wèn)題。若不存在操作系統(tǒng)，則不涉及。

2.二進(jìn)制安全配置類檢查問(wèn)題分析指導(dǎo)：

導(dǎo)出PDF報(bào)告，搜索【安全配置檢查概覽】關(guān)鍵字，可以看到各檢查項(xiàng)的結(jié)果，pass表示通過(guò)，failed表示未通過(guò)，NA表示不涉及（若無(wú)操作系統(tǒng)，則針對(duì)操作系統(tǒng)配置檢查項(xiàng)為不涉及）。搜索【安全配置檢查】關(guān)鍵字，可以查看具體每項(xiàng)的檢查結(jié)果。

檢查結(jié)果說(shuō)明：

-審視項(xiàng)：檢查的方式/方法。

-問(wèn)題：存在問(wèn)題的文件列表，若無(wú)問(wèn)題則顯示暫無(wú)問(wèn)題。

-建議值：針對(duì)檢查出的問(wèn)題給出的修改建議。

-描述：審視項(xiàng)描述。

二進(jìn)制成分分析漏洞掃描基于靜態(tài)風(fēng)險(xiǎn)檢測(cè)，會(huì)對(duì)用戶上傳的軟件包/固件進(jìn)行解壓并分析其中的文件，識(shí)別包中是否存在信息泄露類風(fēng)險(xiǎn)，如敏感IP、GIT/SVN倉(cāng)、弱口令、硬編碼密鑰等風(fēng)險(xiǎn)。

針對(duì)已識(shí)別的信息泄露類風(fēng)險(xiǎn)，可以通過(guò)查看導(dǎo)出報(bào)告中的告警詳情，如PDF漏洞掃描報(bào)告，可以在結(jié)果概覽中確認(rèn)是否有信息泄露風(fēng)險(xiǎn)。如果有，則可以查看相應(yīng)信息泄露明細(xì)，每個(gè)告警都會(huì)包含以下幾個(gè)說(shuō)明，針對(duì)工具掃描出的風(fēng)險(xiǎn)清單，用戶可以基于自身實(shí)際使用情況判斷是否有信息泄露風(fēng)險(xiǎn)，如存在，則采取不同措施屏蔽或修改即可。

-問(wèn)題類型：IP泄露/硬編碼密碼/Git地址泄露等。

-文件路徑：發(fā)現(xiàn)信息泄露的文件在包中的全路徑。

-上下文內(nèi)容：發(fā)現(xiàn)風(fēng)險(xiǎn)的文本行內(nèi)容，包含風(fēng)險(xiǎn)內(nèi)容和上下文內(nèi)容。

-匹配內(nèi)容：實(shí)際發(fā)現(xiàn)的風(fēng)險(xiǎn)內(nèi)容。

-匹配位置：在文件中x行，x位置發(fā)現(xiàn)的信息泄露風(fēng)險(xiǎn)。