基于保护用户代码和信息安全的考虑,FOSSID设计和实施了一种新下执行审计和生成报告的能力 —— 盲审,盲审不需要查看目标源代码,这归功于FOSSID的零误报技术。
盲审简介
基于FOSSID 自身独特的技术,可以为用户提供一种前所未有的源代码审计方式 —— 盲审,盲审可以在不访问用户源代码的情况下进行代码审计。盲审方式下,代码扫描可以在用户侧执行,然后再通过与FOSSID 领先的开源知识库进行比对,检测出代码中包含的开源代码,并生成检测报告,整个过程中我们都不需要访问用户的源代码。
整个盲审的过程非常简单,主要分为两个步骤:
- 1)代码特征的采集:FOSSID CLI(命令行工具)可以进行代码数字特征(fingerprint,一种通过哈希算法生成的特征值)的采集。采集代码特征的过程是不可逆的,采集的代码特征(哈希值)无法反推出原始代码,但FOSSID 仅使用这些代码特征就可以与自身的开源知识库进行比对,并得出结果。代码特征的采集过程在用户侧进行。
- 2)盲审扫描:将采集的代码特征(不需要源代码)上传到FOSSID服务器上进行扫描,可以直接将这些代码特征与FOSSID 的开源知识库进行比对并得到匹配结果。整个扫描过程无需访问用户的源代码。
*注:FOSSID 服务器可以使用部署在用户本地的服务器,或者是FOSSID 公司提供的云端服务器。
步骤一:代码特征采集
- 1)下载并安装FOSSID CLI(FOSSID 命令行工具)到用户本地(命令行工具的安装和使用详见命令行工具帮助文档)。
- 2)运行如下命令,收集目标源代码的代码特征:
$ fossid --stdout SCAN_TARGET > FINGERPRINTS.fossid
- 3)产生的结果将会保存在同一个目录下的一个后缀为 .fossid 的文件中(文件的名字由你在执行前述命令时自行定义,如果按照前述命令执行,将会生成一个FINGERPRINTS.fossid的文件)。
步骤二:盲审扫描
通过步骤一中的代码特征采集过程,你将会获得一个后缀为 .fossid 的文件,文件中包含了被检测代码的代码特征信息。
在FOSSID 服务器(本地服务器,或者FOSSID 公司的云端服务器)上创建一个普通的扫描项目,然后将你的后缀为 .fossid 的文件上传到服务器:
WebApp 会自动识别出上传的文件是代码特征文件,并自动进行扫描,当扫描过程结束后,展示的界面与一个普通扫描(上传源代码的扫描)一致,唯一不同的地方是:在盲审扫描中,被检测代码的源码无法在界面中展示出来。
后续的操作和系统的各项功能都和普通扫描一样,用户可以进行确认(Identification)、生成报告等操作。需要注意的是,拷贝和下载本地代码的操作是无法进行的,因为没有真正的源代码保存在本地服务器。
1087
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
