汽车信息安全漏洞扫描及模糊测试工具

884 906

上海磐起信息科技有限公司总经理金涛围绕《汽车信息安全漏洞扫描及模糊测试工具介绍》展开演讲,围绕行业背景、AutoTrustSecurityAnalyzer、有关“上海磐起”三方面进行介绍。以下是演讲内容整理:

上海磐起信息科技有限公司总经理金涛

开源代码风险管理的必要性

首先是关于测试的背景,大家都对ISO/SAE21434很熟悉,里面提到了功能测试,单元测试,漏洞扫描,包括静态分析、动态分析、开源软件的漏扫,最后是渗透测试。我今天要讲的是ISO/SAE21434第十章中网络安全设计的集成和验证(IntegrationVerification),和第十一章网络安全确认(CybersecurityValidation)。

目前,复制、修改、使用部分源码和依赖使用等模式的多样化导致安全和开源代码许可证的风险增大,行业内有一个解决方案叫SBOM,是软件物料清单。企业在SBOM上可以查看开源软件的构建版本、软件组件的发布编号,并决定是否继续使用。

AutoTrustSecurityAnalyzer

我们推出的SA工具可以帮助客户准确地查找开源许可证与安全漏洞的解决方案,其运作逻辑如下:

如果客户需要扫描软件,就可以将其放在SA扫描器里,第一步进行源代码哈希(hash)加密,第二步是通过SA大数据库(VDB),匹配CVE、补丁、加密文件、开源代码。核心在于第三步,通过AI分析算法,做基于函数和文件的漏洞分析,使用我们的VUDDY专利技术,通过软件包管理器的依赖项分析推演各种结果。最后是进行SoftwareBoM管理,AutoTrustSecurityAnalyzer为软件供应链管理提供SPDX和CycloneDX两种SBOM全球格式,便于识别软件组件和管理所有SDLC阶段的风险。

这里简单介绍一下漏扫的三种模式,第一种是基于命令语,第二种是通过代码上传,第三种是将代码放在Git上,可以直接在Git上对代码进行漏扫。

市面上漏扫的工具很多,大部分都是基于组件或者库文件,顶多做到源代码的C文件、Java文件层级漏扫,但SA工具可以做到函数层漏扫,可以提供更准确的服务。此外,SA工具在打补丁时采用了backport。比如说,某个软件的新版本发现了漏洞,通过修补源代码后可以修复,但此软件的旧版本因为源代码不同,而不能通过同样的修补来修复,这时就需要针对旧版本的软件来进行源代码修补了,而Backport的作用就在于:将软件的补丁应用到比补丁对应版本更老的版本上。最后,除了已知的漏洞以外,如果企业发现了不想公开的隐藏漏洞,SA工具也支持对其进行自定义。以上是SA工具的优势所在。

具体到漏洞管理上,SA工具主要提供三类服务。首先提供基于函数&库的漏洞检测:提供基于代码级别(文件和函数)的漏洞信息;提供库漏洞信息(包括依赖项)。第二是可以提供多种补丁信息:提供组件易受攻击版本的补丁;提供确切易受攻击功能的补丁。第三是提供补丁建议(CVSS&CWETop25):提供基于CVSS的严重性评分信息;对于检测到的CVE提供CWETop25信息。

这里就需要使用到SA工具了,比如分析制造商源代码有不暴露源代码的需求,那么只需要向合作伙伴提供AutoTrustSA扫描器,SA工具会对源代码进行哈希加密。SA工具还可以确认SBoM(源代码组件)信息,检测漏洞和许可证合规问题。

关于SF工具,这里就简单过一下。这个工具目前支持CANFD协议,目前正在开发以太网、NFC、蓝牙、WIFI领域。

有关“上海磐起”

最后简单介绍一下我们公司,我们公司叫上海磐起信息科技有限公司,磐是磐石,起是雄起:意味着在坚固磐石上雄起。我们公司目前的定位是做自动驾驶信息安全,未来还要做移动出行信息安全。我们公司有一个比较重要的战略合作伙伴AUTOCRYPT,总部在韩国,AUTOCRYPT在德国、慕尼黑、加拿大、多伦多、新加坡、美国硅谷都有分公司。我之前在韩国待了十多年,这家公司也是我的老东家,在汽车信息安全领域大概做了十多年,2018年,我回国创业与合作伙伴一起成立了磐起。

我认为自动驾驶有三个网络,一个是车内网络,这个涉及到电子电气架构,比较复杂。二是外部网络,比如V2X、V2I、V2V等。第三个是电力网络,现在自动驾驶的基本标配是纯电电动车,电动车跟充电桩交互的场景中会发生很多信息交互,这时候会需要信息安全身份认证和安全防护。

上海磐起信息科技的主营业务涉及三大领域:V2X信息安全:基于V2X的自动驾驶信息安全解决方案及服务;IVS信息安全:黑客入侵防御及异常监测防御解决方案及合规咨询服务;V2G信息安全:新能源汽车充电信息安全解决方案及认证服务。

具体而言,IVS主要是合规咨询、信息安全解决方案、信息安全测试,这里面核心产品是解决方案,比如AutoTrustIVS–IDS;AutoTrustIVS–VSOC;AutoTrustIVS–ECU。另外就是V2X,主要包括包括终端、OBU、RSU上的安全协议栈,包括服务器端的SCMS云端的CA平台,CA平台既满足中国国内的行业标准,还支持IEEE1609.2的标准,还有欧洲A级标准等等。

最后是V2G,主要包括PKI技术,比如说电动汽车和充电桩互联时,就需要利用到PKI系统防护。此外,车端和充电终端的EVCC和SECC模块里也需要搭载安全协议栈。目前我们公司跟国内的主机厂、充电桩公司等都有合作。

作者:荟荟

文中图片源自互联网,如有侵权请联系admin#d1ev.com(#替换成@)删除。

THE END

2023年十佳开源漏洞评估工具服务器扫描器应用程序nmap插件功能

开源的漏洞扫描工具刘应杰

常见漏洞扫描工具(网络安全行业中5款超好用的网络漏洞扫描器!)

汽车信息安全漏洞扫描及模糊测试工具

十大Web安全扫描工具,你知道哪些?

linux漏洞扫描工具有哪些

怎么扫描网站漏洞?网站漏洞扫描工具推荐

Web漏洞扫描工具有哪些?7种工具可选择

1.带你体验一款主流且开源的Web漏洞扫描工具(OWASPZAP)OWASP ZAP是世界上最受欢迎的Web应用漏洞扫描工具,不仅免费而且还开源。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。接下来从四个方面进行详细介绍。 https://blog.csdn.net/m0_74823507/article/details/144422973
2.十大漏洞扫描工具:保障网络安全的利器随着网络技术的飞速发展,网络安全问题日益突出。为了保障网络系统的安全稳定运行,漏洞扫描工具应运而生。这些工具能够帮助用户及时发现网络系统中的安全隐患,提高系统的安全防护能力。本文将为您介绍十大漏洞扫描工具,让您全面了解这些工具的功能和特点。 一、OpenVAS OpenVAS是一款开源的漏洞扫描与分析工具,具有全面的漏洞https://www.pbids.com/aboutUs/pbidsNews/1861335033937235968
3.开源软件安全现状及其漏洞扫描工具(开源的漏洞扫描工具)漏洞扫描工具(开源的漏洞扫描工具) 最近接到一个需求,要求研究一下开源软件安全漏洞扫描的问题,这篇文章来谈一谈这个问题。 1 开源软件安全现状 有人做过这么一个统计,90%以上的应用都在使用第三方的程序库,这些程序库大部分都是开源的。 与此同时,有超过一半的全球500强公司都在使用存在漏洞的开源软件。https://www.huoban.com/news/post/19062.html
4.开源漏洞扫描工具有哪些开源漏洞扫描修复方法随着互联网技术的不断发展,网络威胁越来越多,漏洞扫描和修复成为企业网络的重要任务。开源漏洞扫描工具是一种可选方案,其优点包括免费、易于使用和高度可定制化等。本文将介绍一些最流行和有用的开源漏洞扫描工具,并探讨如何使用AppScan漏洞扫描工具修复找到的漏洞,从而提高企业网络的安全性。 https://www.appscan.net.cn/jiqiao/appsca-bkyld.html
5.最好用的开源Web漏洞扫描工具梳理最好用的开源Web漏洞扫描工具梳理 链接:www.freebuf.com/articles/web/155209.html 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件。如果你在用WordPress,SUCURI的另一份报告也显示,超过70%的被扫描网站也都存在一个或多个漏洞。 https://www.hqyman.cn/post/896.html
6.7款免费好用的开源Web漏洞扫描工具!对于网络安全从业人员来说,很多工作如果都去人为解决,是很繁琐以及浪费时间的,因此学会使用好用的工具就变得至关重要,今天给大家分享几个Web漏洞扫描工具,以下是详细的内容: 1、Arachni Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件,可以https://www.oldboyedu.com/blog/5021.html
7.6款较流行的开源漏洞扫描工具推荐及特点分析?相比其他工具,误报率较高 4、OSV-Scanner OSV-Scanner是一款由谷歌公司开发的开源漏洞扫描工具,提供专门的软件组成分析(SCA),可用于扫描静态软件,以确保开源软件的编程代码安全漏洞,并保护开源软件清单(SBOM)。在扫描项目时,OSV-Scanner 首先通过分析清单、软件材料清单(SBOM)和代码提交哈希值来确定正在使用的所有https://www.77169.net/html/326291.html
8.最常见的漏洞扫描工具有哪些60秒读懂世界二、OpenVAS OpenVAS是一款开源的漏洞扫描工具,由Greenbone Networks公司维护。它具有以下特点: 开源免费:无需付费即可使用; 功能全面:提供漏洞扫描、漏洞评估、风险分析等功能; 个性化定制:可根据用户需求进行插件开发。 官方网站:OpenVAS官网 三、Nexpose Nexpose是Rapid7公司开发的一款漏洞扫描工具,适用于中小型企业。它https://blog.yyzq.team/post/433729.html
9.常用的php漏洞扫描工具有哪些问答常用的PHP漏洞扫描工具有以下几种:1. OWASP ZAP(Zed Attack Proxy):一个功能强大的开源漏洞扫描工具,可以用于发现各种类型的漏洞,包括PHP漏洞。2. Nikto:一个开源https://www.yisu.com/ask/7775476.html
10.17个最佳漏洞评估扫描工具合集:哪个更好?漏洞扫描工具允许使用多种方式检测应用程序中的漏洞。代码分析漏洞工具分析编码错误。审计漏洞工具可以发现众所周知的rootkit、后门和木马。 漏洞评估扫描工具有哪些?市场上有许多漏洞扫描程序。它们可以是免费的、付费的或开源的。大多数免费和开源工具都可以在 GitHub 上找到。决定使用哪种工具取决于几个因素,例如漏洞类https://www.lsbin.com/13269.html
11.Goby—资产绘测及实战化漏洞扫描工具Goby是一款强大的攻击面绘测及 自动化漏洞扫描工具,预置丰富的实战化漏洞库,通过为目标建立完整的资产数据库实现快速的安全应急。https://gobysec.net/faq
12.OpenVAS:强大的开源漏洞扫描神器[安全测试工具]OpenVAS 作为一款开源的漏洞扫描工具,在网络安全领域发挥着不可或缺的作用。它为用户提供了强大的漏洞http://bbs.51testing.com/thread-1435884-1-1.html
13.Web漏洞扫描排名靠前工具大合集(全)下面几款免费开源的Web应用程序漏洞扫描器: Grabber Grabber是一款免费开源的Web应用程序扫描工具,可以检测Web应用程序中的许多安全漏洞,包括跨站脚本、SQL注入、Ajax测试、文件包含、JS源代码分析器和备份文件检查等。Grabber适用于测试小型Web应用程序,因为对于大型应用程序来说扫描需要太长时间。该工具没有提供GUI界面,也http://www.xcxan.cn/archives/267
14.免费漏洞扫描工具漏洞扫描工具免费漏洞扫描工具是一种用于检测计算机系统、网络设备或应用程序中存在的安全漏洞的工具。它可以自动化地扫描目标系统,发现潜在的漏洞,并生成相应的报告,帮助用户及时发现和修复安全风险。 分类:免费漏洞扫描工具可以根据其https://cloud.tencent.com.cn/developer/information/%E5%85%8D%E8%B4%B9%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F%E5%B7%A5%E5%85%B7
15.「开源」一款性能卓越快速稳定PoC可定制的安全漏洞扫描工具一飞开源,介绍创意、新奇、有趣、实用的开源应用、系统、软件、硬件及技术,一个探索、发现、分享、使用与互动交流的开源技术社区平台。致力于打造活力开源社区,共建开源新生态! 一、开源项目简介 afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具,PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权https://code.exmay.com/detail/1279
16.5款漏洞扫描工具:实用强力全面(含开源)(二)简介: 5 款漏洞扫描工具:实用、强力、全面(含开源) 第三款:Clair 概述 Clair 是基于 API 的漏洞扫描程序,可对开源容器层的任何已知安全漏洞进行检测,更加便于创建持续监控容器并查找安全漏洞的服务。Clair 能定期从各个来源收集漏洞元数据,对容器镜像索引,并提供用于检索 镜像发现的特征的 API。漏洞元数据一旦更新,https://developer.aliyun.com/article/1102296
17.xray漏洞扫描工具设备开源组件漏洞扫描xray漏洞分析检测扫描支持所有主要包类型,了解如何解压缩,并使用递归扫描来查看所有基础层和依赖关系,即使其被打包成 Docker 镜像和 zip 文件。 Your browser does not support the video tag. 可见性和影响分析 扫描所有制品和依赖关系,以创建结构组件图。 这可以提供非常高的可见性,使 Xray 能够确定软件中发现的任何漏洞或问题所造https://www.jfrogchina.com/?p=84773
18.漏洞扫描工具AppScan安装及功能简单使用腾讯云开发者社区漏洞扫描工具AppScan安装及功能简单使用 一、简介 AppScan是一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理https://cloud.tencent.com/developer/article/2187145
19.漏洞扫描工具漏洞检测工具系统漏洞扫描漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。本文为您介绍华为云漏洞扫描工具如何使用,漏洞检测工具,系统漏洞扫描等内容。https://www.huaweicloud.com/special/vss-tool.html
20.『悟空』软件源代码漏洞检测静态代码安全扫描工具中科天齐『悟空WuKong』专业的软件源代码安全检测系统、静态代码分析工具,快速扫描检测软件在开发过程中出现的技术与逻辑漏洞,自动化修复软件代码中存在的质量缺陷,提升用户抵御网络攻击、防止数据泄露等安全问题的能力。https://www.woocoom.com/
21.漏洞扫描是什么?linux漏洞扫描工具有哪些不少网友都在咨询漏洞扫描是什么?其实,漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,然后发现问题进行解决的重要手段。今天我们就一起来盘点下linux漏洞扫描工具有哪些,快速识别系统中已知或未知漏洞的目的。 https://www.kkidc.com/market/3213.html