?二進(jìn)制漏洞掃描支持的編程語言類型：C/C++/Java/Go/JavaScript/Python。

二進(jìn)制漏洞掃描支持的文件：.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件，及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

二進(jìn)制漏洞掃描支持上傳的文件大?。翰怀^5GB。

二進(jìn)制漏洞掃描平均掃描時間預(yù)估：根據(jù)不同的壓縮格式或者文件類型掃描時長會有一定的差異，平均100MB/6min。

二進(jìn)制漏洞掃描服務(wù)采用基于軟件版本的方式檢測漏洞，不支持補丁修復(fù)漏洞場景的檢測。

對用戶提供的軟件包/固件進(jìn)行全面分析，通過解壓獲取包中所有待分析文件，基于組件特征識別技術(shù)以及各種風(fēng)險檢測規(guī)則，獲得相關(guān)被測對象的組件BOM清單和潛在風(fēng)險清單。主要包括以下幾類：

-開源軟件風(fēng)險：檢測包中的開源軟件風(fēng)險，如已知漏洞、License合規(guī)等。

-安全配置風(fēng)險：檢測包中配置類風(fēng)險，如硬編碼憑證、敏感文件（如密鑰、證書、調(diào)試工具等）問題、OS認(rèn)證和訪問控制類問題等。

-信息泄露風(fēng)險：檢測包中信息泄露風(fēng)險，如IP泄露、硬編碼密鑰、弱口令、 GIT/SVN倉泄露等風(fēng)險。圖1 風(fēng)險項

二進(jìn)制成分分析漏洞掃描基于靜態(tài)風(fēng)險檢測，會對用戶上傳的軟件包/固件進(jìn)行解壓并分析其中的文件，識別包中文件包含的開源軟件清單，并分析是否存在已知漏洞、License合規(guī)等風(fēng)險。用戶掃描完成后，建議按照以下步驟進(jìn)行分析排查：

1. 開源軟件分析，分析開源軟件是否存在以及軟件版本是否準(zhǔn)確。
2. 基于報告詳情頁面或?qū)С龅膱蟾嬷虚_源軟件所在文件全路徑找到對應(yīng)文件，然后分析該文件中開源軟件是否存在或準(zhǔn)確（可由相關(guān)文件的開發(fā)或提供人員協(xié)助分析），如果否，則無需后續(xù)分析。
3. 
4. 已知漏洞掃描分析，分析已知漏洞是否準(zhǔn)確。
5. 通過NVD、CVE、CNVD等社區(qū)搜索相關(guān)CVE已知漏洞編號，獲取漏洞掃描詳情
6. 概要分析：查看影響的軟件范圍，如CVE-2021-3711在NVD社區(qū)中的Known Affected Software Configurations，如下圖，確認(rèn)漏洞是否影響當(dāng)前使用的軟件版本，如果當(dāng)前使用的軟件版本不在影響范圍內(nèi)，則初步說明漏洞可能不涉及/影響。
7. 
8. 精細(xì)化分析：漏洞通常存在于某些函數(shù)中，可以通過社區(qū)中的漏洞修復(fù)補丁確認(rèn)漏洞詳情、涉及函數(shù)以及修復(fù)方式，如下圖，用戶可以結(jié)合自身軟件對于相關(guān)開源軟件功能的使用是否涉及相關(guān)漏洞
9. 
10. License合規(guī)分析?；趫蟾嬷虚_源軟件及對應(yīng)的License分析軟件是否合規(guī)，滿足公司或準(zhǔn)入要求。
11. 風(fēng)險解決方式：
12. 已知漏洞：如果當(dāng)前使用的軟件版本存在漏洞，可通過升級軟件版本至社區(qū)推薦版本解決。緊急情況下也可以通過社區(qū)推薦的patch修復(fù)方式臨時解決。
13. License合規(guī)：如果使用的軟件存在合規(guī)風(fēng)險，則需要尋找相似功能且合規(guī)的開源軟件進(jìn)行替代。

1.二進(jìn)制成分分析漏洞掃描會檢測用戶包中一些安全配置項是否合規(guī)，主要如下：

-用戶上傳的軟件包/固件中存在的敏感文件，如（密鑰文件，證書文件，源碼文件, 調(diào)試工具等）。

-用戶上傳的軟件包/固件中操作系統(tǒng)中的用戶與組配置、硬編碼憑證、認(rèn)證和訪問控制等配置類問題。若不存在操作系統(tǒng)，則不涉及。

2.二進(jìn)制安全配置類檢查問題分析指導(dǎo)：

導(dǎo)出PDF報告，搜索【安全配置檢查概覽】關(guān)鍵字，可以看到各檢查項的結(jié)果，pass表示通過，failed表示未通過，NA表示不涉及（若無操作系統(tǒng)，則針對操作系統(tǒng)配置檢查項為不涉及）。搜索【安全配置檢查】關(guān)鍵字，可以查看具體每項的檢查結(jié)果。

檢查結(jié)果說明：

-審視項：檢查的方式/方法。

-問題：存在問題的文件列表，若無問題則顯示暫無問題。

-建議值：針對檢查出的問題給出的修改建議。

-描述：審視項描述。

二進(jìn)制成分分析漏洞掃描基于靜態(tài)風(fēng)險檢測，會對用戶上傳的軟件包/固件進(jìn)行解壓并分析其中的文件，識別包中是否存在信息泄露類風(fēng)險，如敏感IP、GIT/SVN倉、弱口令、硬編碼密鑰等風(fēng)險。

針對已識別的信息泄露類風(fēng)險，可以通過查看導(dǎo)出報告中的告警詳情，如PDF漏洞掃描報告，可以在結(jié)果概覽中確認(rèn)是否有信息泄露風(fēng)險。如果有，則可以查看相應(yīng)信息泄露明細(xì)，每個告警都會包含以下幾個說明，針對工具掃描出的風(fēng)險清單，用戶可以基于自身實際使用情況判斷是否有信息泄露風(fēng)險，如存在，則采取不同措施屏蔽或修改即可。

-問題類型：IP泄露/硬編碼密碼/Git地址泄露等。

-文件路徑：發(fā)現(xiàn)信息泄露的文件在包中的全路徑。

-上下文內(nèi)容：發(fā)現(xiàn)風(fēng)險的文本行內(nèi)容，包含風(fēng)險內(nèi)容和上下文內(nèi)容。

-匹配內(nèi)容：實際發(fā)現(xiàn)的風(fēng)險內(nèi)容。

-匹配位置：在文件中x行，x位置發(fā)現(xiàn)的信息泄露風(fēng)險。