Cruise, avtomatlashtirilgan haydash texnologiyalariga ixtisoslashgan kompaniya, loyiha manba kodlari , bu Linux-ga asoslangan dasturiy ta'minot tasvirlarini tahlil qilish va ulardagi mumkin bo'lgan zaifliklar va ma'lumotlarning sizib chiqishini aniqlash uchun vositalarni taqdim etadi. Kod Go va da yozilgan Apache 2.0 ostida litsenziyalangan.
ext2/3/4, FAT/VFat, SquashFS va UBIFS fayl tizimlari yordamida tasvirlarni tahlil qilishni qo'llab-quvvatlaydi. Tasvirni ochish uchun e2tools, mtools, squashfs-tools va ubi_reader kabi standart yordamchi dasturlardan foydalaniladi. FwAnalyzer rasmdan katalog daraxtini ajratib oladi va bir qator qoidalar asosida tarkibni baholaydi. Qoidalar fayl tizimining metama'lumotlariga, fayl turiga va mazmuniga bog'lanishi mumkin. Chiqish JSON formatidagi hisobot bo'lib, u mikrodasturdan olingan ma'lumotlarni umumlashtiradi va ogohlantirishlar va qayta ishlangan qoidalarga mos kelmaydigan fayllar ro'yxatini ko'rsatadi.
U fayllar va kataloglarga kirish huquqlarini tekshirishni qo'llab-quvvatlaydi (masalan, u hamma uchun yozish huquqini aniqlaydi va noto'g'ri UID/GIDni o'rnatadi), suid bayrog'i bilan bajariladigan fayllar mavjudligini va SELinux teglaridan foydalanishni aniqlaydi, unutilgan shifrlash kalitlarini aniqlaydi va potentsial xavfli fayllar. Tarkib tashlab qo'yilgan muhandislik parollari va disk raskadrovka ma'lumotlarini ta'kidlaydi, versiya ma'lumotlarini ta'kidlaydi, SHA-256 xeshlari yordamida apparatni aniqlaydi/tekshiradi va statik niqoblar va oddiy iboralar yordamida qidiradi. Tashqi analizator skriptlarini ma'lum fayl turlariga bog'lash mumkin. Android-ga asoslangan proshivka uchun qurish parametrlari aniqlanadi (masalan, ro.secure=1 rejimi, ro.build.type holati va SELinux faollashuvidan foydalanish).
FwAnalyzer uchinchi tomon proshivkalarida xavfsizlik muammolarini tahlil qilishni soddalashtirish uchun ishlatilishi mumkin, ammo uning asosiy maqsadi uchinchi tomon shartnoma sotuvchilari tomonidan egalik qilinadigan yoki etkazib beriladigan mikrodastur sifatini nazorat qilishdir. FwAnalyzer qoidalari sizga mikrodastur holatining aniq spetsifikatsiyasini yaratishga va noto'g'ri kirish huquqlarini belgilash yoki shaxsiy kalitlarni va disk raskadrovka kodini qoldirish kabi qabul qilib bo'lmaydigan og'ishlarni aniqlashga imkon beradi (masalan, tekshirish sizga bunday vaziyatlardan qochish imkonini beradi, masalan, ssh serverining sinov bosqichida foydalaniladi, muhandislik paroli, /etc/config/shadow yoki ni o'qish uchun raqamli imzoni shakllantirish).
Manba: opennet.ru