在软件开发过程中,大量的开源代码和开源仓库在被重复使用,引发了一系列软件安全问题,当被使用的代码中包含有漏洞,或是被插入恶意代码时,将导致安全漏洞和恶意代码传播。另一方面,开源代码漏洞的年增长率和针对开源代码漏洞的攻击总量逐年递增,使用开源组件的大量软件中存在已知的漏洞威胁。通过对软件代码进行成分分析和同源分析,能够自动分析、报告并及时修复软件中的此类安全隐患。
国外产品大部分都基于常量字符串、特殊信息等初级特征信息进行软件成分分析和安全隐患报告,普遍存在误报率高、分析力度差、文件匹配度低等问题,这些问题需要基于函数代码级特征数据的细粒度软件成分分析技术解决。
BinSearch是一款基于大数据与机器学习的二进制代码分析平台,具有自主知识产权。
1、 http://www.ubisectech.com/product/?id=76
2、 http://www.ubisectech.com/index.php/project_detail/?pid=2&id=0
BinSearch 通过对软件代码结构、常量字符串、函数代码、函数控制流图、函数调用关系等各种粗细粒度特征数据结合,比对分析二进制代码的成分以及各代码成分之间的相似性和同源性,并自动报告代码漏洞、信息泄露隐患、恶意代码植入、代码侵权等安全风险与合规隐患,BinSearch能够精准分析识别代码组成成分和引用第三方组件、解读引用开源代码许可合规性、检测代码安全漏洞、分析恶意代码植入。