Cybellum软件特性

一、  概述

Cybellum 是一款软件供应链安全管理工具，能帮助企业为引入第三方组件设置管理门槛

及策略；帮助用户选择没有安全风险和质量缺陷的软件产品。

1、在任何情况下某些组件都不可以受到来自哪一类型的攻击？

2、有关第三方组件漏A洞的管理政策是什么？

3、哪些产品使用了易受攻击的组件和对应版本。

3、什么时候向客户发布关键补丁？

二、  用途：

针对如下维度对软件做测试，跟踪软件中的存在的安全风险，给出最佳安全实践建议。

1）找出软件中的已知漏洞，未知漏洞；

2）安全加固情况；密钥加密是否规范；

3）软件中是否有未加密的通信；

4）针对行业规范做相关检测；

如：Misra 2012 ,CERT-C, AUTOSAR,ISO20262 等合规检测

5）支持自定义企业信息安全规范标准

6）信息泄露检测

○  Hard-coded credentials(硬编码的凭证)

○  Plain text passwords*(纯文本密码)

○  Hashed passwords(哈希密码)

○  Emails, IPs, URLs, File Paths(电子邮件，IP地址，URL，文件路径)

7）加密问题

○  Accessible encryption keys(可访问的加密密钥)  

○  Unencrypted communication(未加密的通讯)

○  Private encryption keys(专用加密密钥)

  8）安全性配置错误问题

●  Address space layout randomization (ASLR)地址空间布局随机化ASLR

●  Stack-smashing protector (SSP)堆栈爆破保护器(SSP)

●  Executable-space protection(NX)可执行空间保护(NX)

●  RELocation table protection(RELRO)重定位表保护（RELRO）

●  Stack Canaries堆栈金丝雀

●  SafeSEH(异常中断处理)

●  Data Execution Prevention(DEP)数据执行保护（DEP)

●  Fortify source  强化来源抑制缓冲区溢出风险

9）组件包信息（软件 BOM 清单） ：

●软件包名称，版本号，路径信息  ；

●开源组件License 信息，所在组件包文件名，版本号，许可证类型。

10）软件特定接口强化扫描，验证是否存在未知漏洞。

11）基于CWE规范，通过机器自学习发现未知漏洞。

●  Buffer overflow-Heap/Stack，  Buffer over-read-Heap/Stack，  Invalid page fault缓冲区溢出-堆/堆栈缓冲区被过度读取-堆/堆栈无效页面错误

●  Deadlock,Integer overflow  死锁整数溢出

整型溢出会有可能导致缓冲区溢出，缓冲区溢出会导致各种黑客攻击。

●  Null pointer dereference，  Uninitialized data空指针引用未初始化的数据

该漏洞会造成RTF令牌解引用未初始化的指针，进而执行代码或造成应

用程序崩溃。

●  Use-after-free，Double free 使用已释放内存/重复释放内存

该漏洞会造成程序自然崩溃

●  Invalid and mismatched free,Divisions by zero(释放无效内存地址)

●  Type Confusion错误的数据类型转换

（攻击者可利用该漏洞执行任意代码）

三、关键技术：

1、 检测已知漏洞：基于尖端的已知和未知漏洞检测引擎，查找和验证实际的安全威胁。

2、 检测未知漏洞：基于机器自学习算法技术根据CWE规范提取所有漏洞的特征（调用堆栈，方法名称，参数类型，缓冲区大小等）自动生成该二进制文件的未知漏洞列表。

四、 作用

1） 在发布期间，对产品中的组件进行全面的风险检查。

2）在部署期间，监控供应链中已知和未知的漏洞，以便及时做出正确的风险决策，并更好地通过该信息来确定何时更新或者替换这些组件，从而发布新的修正版本。

3） 在部署之后，V-monitor 系统通过庞大的漏洞信息来源能及时地为用户提供恰当的更新帮助信息，以协助用户做出明明智的更新决策。

五、管理平台

Cybellum 工具主要由两套系统组成，  V-Ray平台和V-Monitor 平台。

1、 Cybellum V-Ray 基于自动化的漏洞检测平台，提供完整的组件可见性和风险评估。

2、 Cybellum V-Monitor™监控所有已部署的组件，让开发团队及时掌握公共，私有及暗源新漏洞和威胁。 

六、  组件安全评分标准

1、内置评分标准------CVSS评分标准

从六个维度检测：私有漏洞、公有漏洞、加密密钥、信息泄露、安全加固、合规等。

 2、用户自定义安全评分规则：

产品经理可以选择一些影响最终分数的参数：

●严重性敏感度 - 用户可以设置每个严重性级别对安全性得分的影响，因此降低得分公式的权重将发生变化。 例如：与默认配置相比，增加可能适用于具有较大攻击面的连接组件

的关键问题的影响将降低安全性得分。

●加权威胁 - 用户可以使用不同的可用级别设置威胁类型之间的过滤和优先级。

   例如，如果用户优先考虑已知漏洞（CVE），则高严重性 CVE 将比未知的高严重性漏洞更多地影 响安全评分。此外，用户可以根据预定义的属性更改威胁的影响，例如：业务风险，访问向量，可利用性，缓解机制等。