近日，信息通信软件供应链安全社区公布了“2023软件供应链优秀成果”，经过社区评审组专家公平、公正、严格地评审，最终有23项成果案例入选。安般科技“一种基于静态分析技术的固件供应链安全管理系统”及“基于二进制固件检测技术助力某OEM厂商筑牢信息安全防线”分别入选“自主研发创新成果”和“优秀治理实践成果”。

自主研发创新成果

一种基于静态分析技术的固件供应链安全管理系统

固件作为一种特定软件，可以提供对设备硬件的底层控制，在物联网、车联网和工控等行业中应用广泛。因为固件通常会包含敏感信息，例如凭据和加密密钥，所以经常成为攻击者的目标。微软2021年发布的《Security Signals》研究报告显示“过去两年中，83％的组织至少遭受了一次固件攻击”，固件正面临着前所未有的安全威胁。

安般科技推出的易识固件供应链安全管理系统是一款针对固件安全隐患进行高效全自动分析的工具，支持22万+CVE、23万+CNNVD，可拓展40+CWE，支持 60 种以上的主流固件架构、多种操作系统、多种文件系统格式，可定制化开发并插件化接入各类平台工具中，能够帮助用户实现：

• 管理开源漏洞：系统内置丰富的漏洞库资源，让固件中的开源漏洞无所遁形。
• 检测敏感信息：通过先进的文件解析技术，探查明文的用户名/密码及URI链接，降低固件泄密风险。
• 助力产品合规：对固件组成成分进行自动化分析，让产品远离合规困扰。

该产品可广泛应用于汽车、电力、石油、石化、金融、军工、政府、互联网等行业，显著提高自研产品和第三方供应链固件的安全性、稳定性，减少不必要损失和危害。

优秀治理实践成果

基于二进制固件检测技术助力某OEM厂商筑牢信息安全防线

项目背景

• 国家市场监督管理总局规定了固件风险检测作为汽车OTA升级包风险检测认证最重要的一个环节；
• 车载软件安全性要求极高，软件系统日趋复杂，引用开源软件导致漏洞和缺陷成倍增加；
• 汽车上下游供应链之间并非源代码交付，缺乏对固件的有效测试手段；
• 固件成分合规是行业市场准入的硬性门槛，然而其使用的开源组件本身的安全漏洞往往隐藏很深，很难在安全升级中被完全覆盖；
• 漏洞分析纯靠人力，测试和开发沟通成本较高，产品迭代周期长。

项目效果

• 为该OEM厂商提供固件供应链安全管理系统，使用各类插件自动匹配已知漏洞，比如CVE、CWE和CNNVD等，并通过软件成分分析来查找固件中的第三方库、加密算法和敏感信息；
• 对该OEM厂商的OTA固件包进行检测，发现141个CVE漏洞。其中超危漏洞22个，高危漏洞37个；CWE漏洞共计12个，其中高危漏洞4个，并提供漏洞详情及修复建议；
• 易识固件供应链安全管理系统的引入革新了测试技术手段，能够全自动化发现固件中存在的漏洞及敏感信息，大大提高了固件安全检测工作的效率，并帮助企业有效降低人力成本。

未来，安般科技将加大在软件供应链方面的研发投入，为软件产品提供更加全面的保障措施，帮助更多客户提升软件质量、加快迭代速度、降低研发成本。