Cruise, podjetje, specializirano za tehnologije avtomatizirane vožnje, izvorne kode projekta , ki ponuja orodja za analizo slik vdelane programske opreme, ki temeljijo na Linuxu, in prepoznavanje morebitnih ranljivosti in uhajanja podatkov v njih. Koda je napisana v jeziku Go in licenciran pod Apache 2.0.
Podpira analizo slik z uporabo datotečnih sistemov ext2/3/4, FAT/VFat, SquashFS in UBIFS. Za odpiranje slike se uporabljajo standardni pripomočki, kot so e2tools, mtools, squashfs-tools in ubi_reader. FwAnalyzer izvleče drevo imenikov iz slike in ovrednoti vsebino na podlagi niza pravil. Pravila je mogoče povezati z metapodatki datotečnega sistema, vrsto datoteke in vsebino. Rezultat je poročilo v formatu JSON, ki povzema informacije, pridobljene iz vdelane programske opreme, ter prikazuje opozorila in seznam datotek, ki niso v skladu z obdelanimi pravili.
Podpira preverjanje pravic dostopa do datotek in imenikov (na primer zazna pisalni dostop za vse in nastavi napačen UID/GID), ugotavlja prisotnost izvršljivih datotek z zastavico suid in uporabo oznak SELinux, identificira pozabljene šifrirne ključe in potencialno nevarne datoteke. Vsebina poudarja opuščena inženirska gesla in podatke o odpravljanju napak, poudarja informacije o različici, identificira/preverja strojno opremo z zgoščenimi vrednostmi SHA-256 in išče z uporabo statičnih mask in regularnih izrazov. Skripte zunanjega analizatorja je mogoče povezati z določenimi vrstami datotek. Za vdelano programsko opremo, ki temelji na sistemu Android, so parametri gradnje definirani (na primer z uporabo načina ro.secure=1, stanja ro.build.type in aktivacije SELinux).
FwAnalyzer je mogoče uporabiti za poenostavitev analize varnostnih težav v vdelani programski opremi tretjih oseb, vendar je njegov glavni namen spremljanje kakovosti vdelane programske opreme, ki je v lasti ali dobavi pogodbenih prodajalcev tretjih oseb. Pravila FwAnalyzer vam omogočajo, da ustvarite natančno specifikacijo stanja vdelane programske opreme in prepoznate nesprejemljiva odstopanja, kot je dodeljevanje napačnih pravic dostopa ali puščanje zasebnih ključev in kode za odpravljanje napak (preverjanje vam na primer omogoča, da se izognete situacijam, kot so npr. uporabljen med testiranjem strežnika ssh, inženirsko geslo, za branje /etc/config/shadow oz oblikovanje digitalnega podpisa).
Vir: opennet.ru