Cruise, kampuni iliyobobea katika teknolojia ya kuendesha gari kiotomatiki, misimbo ya chanzo cha mradi , ambayo hutoa zana za kuchanganua picha za programu dhibiti za Linux na kutambua udhaifu unaowezekana na uvujaji wa data ndani yake. Msimbo umeandikwa kwa lugha ya Go na leseni chini ya Apache 2.0.
Inasaidia uchanganuzi wa picha kwa kutumia ext2/3/4, FAT/VFat, SquashFS na mifumo ya faili ya UBIFS. Ili kufungua picha, huduma za kawaida hutumiwa, kama vile e2tools, mtools, squashfs-tools na ubi_reader. FwAnalyzer hutoa mti wa saraka kutoka kwa picha na kutathmini yaliyomo kulingana na seti ya sheria. Sheria zinaweza kuunganishwa na metadata ya mfumo wa faili, aina ya faili na yaliyomo. Matokeo ni ripoti katika umbizo la JSON, inayofupisha maelezo yaliyotolewa kutoka kwa programu dhibiti na kuonyesha maonyo na orodha ya faili ambazo hazizingatii sheria zilizochakatwa.
Inasaidia kuangalia haki za ufikiaji wa faili na saraka (kwa mfano, hugundua ufikiaji wa maandishi kwa kila mtu na kuweka UID/GID isiyo sahihi), huamua uwepo wa faili zinazoweza kutekelezwa na bendera ya suid na matumizi ya vitambulisho vya SELinux, hutambua funguo za usimbuaji zilizosahaulika na uwezekano faili hatari. Maudhui huangazia manenosiri ya uhandisi na data ya utatuzi yaliyoachwa, huangazia maelezo ya toleo, hubainisha/kuthibitisha maunzi kwa kutumia heshi za SHA-256, na utafutaji kwa kutumia vinyago tuli na usemi wa kawaida. Inawezekana kuunganisha hati za kichanganuzi cha nje kwa aina fulani za faili. Kwa programu dhibiti ya Android, vigezo vya uundaji vinafafanuliwa (kwa mfano, kutumia hali ya ro.secure=1, hali ya ro.build.type na kuwezesha SELinux).
FwAnalyzer inaweza kutumika kurahisisha uchanganuzi wa masuala ya usalama katika programu dhibiti ya wahusika wengine, lakini lengo lake kuu ni kufuatilia ubora wa programu dhibiti ambayo inamilikiwa au kutolewa na wachuuzi wa kandarasi wa wahusika wengine. Sheria za FwAnalyzer hukuruhusu kutoa maelezo sahihi ya hali ya programu dhibiti na kutambua mikengeuko isiyokubalika, kama vile kugawa haki za ufikiaji zisizo sahihi au kuacha funguo za kibinafsi na msimbo wa utatuzi (kwa mfano, kukagua hukuruhusu kuzuia hali kama vile. kutumika wakati wa majaribio ya seva ya ssh, nenosiri la uhandisi, kusoma /etc/config/shadow au uundaji wa saini ya dijiti).
Chanzo: opennet.ru