当前，物联网设备数量飞速增长。而“万物互联”带来便利的同时，也为攻击者带来了更多的攻击选择，因为他们明白这里往往是最“脆弱”的环节。

  物联网行业系列深度报告预测，“至2025 年，全球物联网设备（包括蜂窝及非蜂窝）联网数量将达到 252 亿个。”固件是向数量庞大的物联网提供设备硬件底层控制的一类特殊软件，由此可知，固件的安全性将很大程度决定物联网设备的安全性。必须要格外注意的是，企业从不同供应链里接收到的第三方产品（包括软件和硬件），往往正是黑客们利用的弱点所在。

  随着新一轮科技革命和产业变革迅猛发展，数字化转型已成为企业“十四五”规划的重要组成部分。企业为了推动产品创新和缩短新品的上市时间，并不会从头开始研发，而是慢慢的变具有集成性，最终产品的开发可能包含了多个第三方的组件。

  而在实际应用中，企业不能仅仅保护自身研发的产品和设备，也必须对所有的第三方供应链的安全性负责。换句话说，若企业不对所有供应链上的第三方组件加以保护和监察，这些组件就很有一定的概率会在他们运行的时候给设备和网络带来非常大的风险。

  第三方组件的导入，给公司能够带来了真实的网络安全挑战。企业不仅需要独立验证其隐藏风险，也需要与供应商们一起努力，敦促和提升他们的安全态势。值得探讨的是，即使发现存在安全问题并披露了出来，开发团队也疲于应战。因为：

  工作量巨大。第三方组件及其版本号众多、系统不止一个、系统要定期或不定期排查……。

  与时间赛跑。若无法在黑客攻击前，检测并修复这些有明确的目的性的黑客漏洞攻击，一切将变的毫无意义。

  对企业持续交付能力是个考验。版本升级可能会带来兼容问题；版本升级需要应对回归测试；版本升级是否能保证生产环境业务不会因为部署而中断等。

  基于此背景，固源科技带来的 二进制反汇编安全评估平台（Swift Binary）成为最佳解决方案。该方案通过“CVE 已知漏洞检测技术”及“CWE 未知漏洞检测技术”，能自动化的对第三方组件进行反汇编扫描，评估其风险并持续监控它们。

  CVE 已知漏洞检测技术：利用 Swift Binary 独有的技术对二进制固件组成部分中包含的成分进行特征匹配，如对应版本的开源框架是否包含对应的公有漏洞。准确的SBOM(软件组件清单)生成，从而确保已知漏洞匹配的准确性。

  静态：针对上传的固件进行静态分析, 结合固件架构、开源框架和缺陷特征，在二进制文件上自动化的遍历所有的潜在缺陷, 并输出可疑的未知缺陷列表(CWE 列表)。

  动态：动态执行引擎通过接收缺陷输入中的可疑位置, 针对可能易受攻击的二进制文件, 通过虚拟运行对应的符号向量（如套接字符串、用户输入等) 的方式自动触发和利用所有潜在未知缺陷。此阶段将针对静态引擎得到的所有未知缺陷列表进行动态的验证， 只有能够被触发的未知缺陷, Swift Binary才会将其界定为未知漏洞。

  一是该方案是一个端到端第三方组件安全评估解决方案。发现：自动执行所有组件的漏洞检验测试过程；修复：生成自动补丁，并发布无线更新以降低风险；监控：所有已部署的组件，用于实时和相关威胁情报；控制：全方面了解供应商组件，评估风险并更加有效的执行企业的相关政策。

  二是固件安全检验测试产品可以自动化检查任何二进制文件的漏洞，无需访问其源代码，帮助行业参与者做出更明智的集成决策，并大幅度降低部署风险。

  通过固源科技带来的二进制反汇编安全评估平台，将关键任务自动化，真正使软件供应链管理成为从事前到事后管控可操作的实时流程。事前，基于自动化机器学习与虚拟运行技术的二进制组件漏洞检测，平台将为你提供完整的组件可见性和风险评估；事后，通过监控所有已部署的第三方组件，平台将根据组件的软件框架结构与漏洞结果进行公网，暗网以及舆论的跟踪和预警。

  微软的一项研究显示，超过80%的企业在过去两年中至少经历过一次固件攻击。根据 IBMSecurity 的《2022年数据泄露成本报告》，关键基础设施攻击的平均成本为482万美元。作为国内为数不多引用二进制固件漏洞检测技术的企业，固源科学技术拥有安全零前置的解决方案，并服务于智能汽车、工业控制、电力能源、IoT、科研院所等行业和领域，获得客户高度认可。同时，固源科技还提供软件供应链风险评估和安全攻防演练服务，帮助客户提升信息安全防护能力。