Otomatik sürüş teknolojilerinde uzmanlaşmış bir şirket olan Cruise, proje kaynak kodları Linux tabanlı ürün yazılımı görüntülerini analiz etmek ve bunlardaki olası güvenlik açıklarını ve veri sızıntılarını belirlemek için araçlar sağlayan araçlar sağlar. Kod Go'da yazılmıştır ve Apache 2.0 altında lisanslanmıştır.
Ext2/3/4, FAT/VFat, SquashFS ve UBIFS dosya sistemlerini kullanarak görüntülerin analizini destekler. Görüntüyü açmak için e2tools, mtools, squashfs-tools ve ubi_reader gibi standart yardımcı programlar kullanılır. FwAnalyzer, görüntüden dizin ağacını çıkarır ve içeriği bir dizi kurala göre değerlendirir. Kurallar dosya sistemi meta verilerine, dosya türüne ve içeriğe bağlanabilir. Çıktı, bellenimden çıkarılan bilgileri özetleyen ve uyarıları ve işlenen kurallara uymayan dosyaların listesini görüntüleyen JSON formatında bir rapordur.
Dosyalara ve dizinlere erişim haklarının kontrol edilmesini destekler (örneğin, herkes için yazma erişimini algılar ve yanlış UID/GID ayarlar), suid bayrağına sahip yürütülebilir dosyaların varlığını ve SELinux etiketlerinin kullanımını belirler, unutulan şifreleme anahtarlarını tanımlar ve potansiyel olarak tehlikeli dosyalar. İçerik, terk edilmiş mühendislik şifrelerini ve hata ayıklama verilerini vurgular, sürüm bilgilerini vurgular, SHA-256 karmalarını kullanarak donanımı tanımlar/doğrular ve statik maskeler ve normal ifadeler kullanarak arama yapar. Harici analizör komut dosyalarını belirli dosya türlerine bağlamak mümkündür. Android tabanlı bellenim için derleme parametreleri tanımlanır (örneğin, ro.secure=1 modu, ro.build.type durumu ve SELinux aktivasyonu kullanılarak).
FwAnalyzer, üçüncü taraf ürün yazılımındaki güvenlik sorunlarının analizini basitleştirmek için kullanılabilir, ancak asıl amacı, üçüncü taraf sözleşmeli satıcıların sahip olduğu veya sağladığı ürün yazılımının kalitesini izlemektir. FwAnalyzer kuralları, ürün yazılımı durumunun doğru bir spesifikasyonunu oluşturmanıza ve yanlış erişim haklarını atamak veya özel anahtarları bırakmak ve kodda hata ayıklamak gibi kabul edilemez sapmaları tanımlamanıza olanak tanır (örneğin, kontrol, aşağıdaki gibi durumlardan kaçınmanıza olanak tanır): ssh sunucusunun test aşamasında kullanılır, mühendislik şifresi, /etc/config/shadow okumak için veya dijital imzanın oluşturulması).
Kaynak: opennet.ru