Cruise, perusahaan khusus ing teknologi nyopir otomatis, kode sumber proyek , sing nyedhiyakake alat kanggo nganalisa gambar perangkat kukuh basis Linux lan ngenali kerentanan potensial lan bocor data. Kode kasebut ditulis ing basa Go lan dilisensi ing Apache 2.0.
Ndhukung analisis gambar nggunakake ext2 / 3/4, FAT / VFat, SquashFS lan sistem file UBIFS. Kanggo mbukak gambar, utilitas standar digunakake, kayata e2tools, mtools, squashfs-tools lan ubi_reader. FwAnalyzer ngekstrak wit direktori saka gambar lan ngevaluasi isi adhedhasar sakumpulan aturan. Aturan bisa diikat karo metadata sistem file, jinis file, lan konten. Output minangka laporan ing format JSON, ngringkes informasi sing diekstrak saka perangkat kukuh lan nampilake bebaya lan dhaptar file sing ora tundhuk karo aturan sing diproses.
Ndhukung mriksa hak akses menyang file lan direktori (contone, ndeteksi akses nulis kanggo kabeh wong lan nyetel UID / GID sing salah), nemtokake anané file sing bisa dieksekusi kanthi gendéra suid lan panggunaan tag SELinux, ngenali kunci enkripsi sing dilalekake lan duweni potensi. file mbebayani. Isi kasebut nyoroti sandhi teknik sing ditinggalake lan data debugging, nyorot informasi versi, ngenali / verifikasi hardware nggunakake hash SHA-256, lan nggoleki nggunakake topeng statis lan ekspresi reguler. Sampeyan bisa nyambungake skrip analisa eksternal menyang jinis file tartamtu. Kanggo perangkat kukuh adhedhasar Android, paramèter mbangun ditetepake (contone, nggunakake mode ro.secure = 1, status ro.build.type lan aktivasi SELinux).
FwAnalyzer bisa digunakake kanggo nyederhanakake analisis masalah keamanan ing perangkat kukuh pihak katelu, nanging tujuan utamane yaiku kanggo ngawasi kualitas perangkat kukuh sing diduweni utawa diwenehake dening vendor kontrak pihak katelu. Aturan FwAnalyzer ngidini sampeyan ngasilake spesifikasi sing akurat saka negara perangkat kukuh lan ngenali panyimpangan sing ora bisa ditampa, kayata menehi hak akses sing salah utawa ninggalake kunci pribadi lan kode debugging (contone, mriksa ngidini sampeyan ngindhari kahanan kayata digunakake nalika nguji server ssh, sandi engineering, kanggo maca /etc/config/shadow utawa pembentukan tanda tangan digital).
Source: opennet.ru