IoT 固件安全检测(FSS)最佳实践|学习笔记

简介: 快速学习 IoT 固件安全检测(FSS)最佳实践

开发者学堂课程【物联网安全中心实战课程 IoT 固件安全检测(FSS)最佳实践】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/918/detail/14483


IoT 固件安全检测(FSS)最佳实践

 

内容介绍:

一、什么是 FSS

二、IoT 固件安全检测服务

三、FSS 核心检测能力

四、FSS 特点

五、IoT 固件安全检测服务的应用场景

六、FSS 使用

 

一、什么是 FSS

#阿里云 loT 固件安全检测

#针对 loT 的设备固件进行无侵入、多维度的安全风险检测
#帮助用户识别 loT 固件的操作系统和第三方组件存在的软件安全漏洞,提前发现弱口令、证书风险、隐私泄露、配置不当等多种安全风险
#提供安全检测报告和风险修复建议

 

二、IoT 固件安全检测服务

IoT 固件安全检测是一款面向设备制造及运营商、供应链安全管理及服务商、安全测评及咨询机构等等,提供的针对设备固件进行无侵入、多维度的安全风险检测的云端化服务,帮助厂商快速识别软件安全漏洞,提前发现弱密码、证书风险、隐私泄露、配置不当等各种安全风险,提升设备固件安全防护水平,减少产品发布后的召回、修复、更新、升级成本,满足产品安全合规需求

 

三、FSS 核心检测能力

1667028987412.jpg

1. 2大类固件:Linux 类、RTOS 类 包含 AliOS Thins, Yocto、OpenWrt、uClinux、Android 等

2. 16类安全风险检测:已知 CVE 漏洞、密钥安全、配置风险、信息泄露、代码安全等方面

 

四、FSS 特点

1667029018212.jpg

1. loT 固件级扫描:无需源代码、不依赖 Agent、无需集成 SDK、二进制全黑盒扫描

2.基于云端的检测服务:一步提交、全自动化检测/报告提示、提供开放 API 供第三方调用

3.全面的 loT 安全风险分析:漏洞检测、风险评估、弱密码检测、密钥证书、敏感数据检测、软件配置风险等

4.适用于全周期安全开发:三方软件风险评估、安全开发和发布、持续检测

 

五、IoT 固件安全检测服务的应用场景

1. 固件发布/OTA

设备厂商将 IoT 固件安全检测与开发流程对接。在固件发布之前进行安全性扫描,防止高危风险发布上线。

2. 供应链安全检测和管理

对第三方提供的固件进行安全风险检测,防止因为安全开发执行不到位、引用了有漏洞的第三方组件而带来的安全风险,作为符合等保或其他安全合规标准的验收参考项。

3. 安全渗透测试和专家服务

作为对 IoT 系统安全评估的工具之一,帮助高效识别IoT设备的潜在安全风险;并根据安全检测报告有针对性的进行安全风险修复。

FSS应用架构

1667029068184.jpg


六、FSS 使用

阿里云账号:主账号:直接登陆

子账号:AliyunFssFullAccess或AliyunFSSReadOnlyAccess

使用方式:控制台:loT 安全中心-接入管理-固件安全检测

OpenAPI
购买:购买检测次数:loT 安全中心-入门指引-安全检测

首先进入 loT 安全中心

点击系统管理-任务管理-进入界面

1667029104323.jpg

点击左侧接入管理-固件安全检测

1667029119214.jpg

填入检测任务并点击开始检测

进入任务管理界面可以查看固件安全检测任务

demo:

package com.aliyun.fss.openapi.demo;

import ...

public class FssApiSampleDemo {

private final static Logger logger = LoggerFactory.getLogger(FssApiSampleDemo.class);public static DefaultAcsclient getPopclient()

//线上 

String regionId = "cn-shanghai"";

String domain = "fssapi.cn-shanghai.aliyuncs.com";

DefaultProfile.addEndpoint(regionId,product"Fss-api"",domain);

DefaultProfile profile = DefaultProfile.getProfile(

regionld, Constants.AK,Constants.

) ;

profile.getHttpclientConfig().setIgnoressLCerts(true)//测试使用return new DefaultAcsClient(profile) ;

}

public static String createScanTask(IAcsClient iAcsClient,String fwId,String fwrl) throws ClientException f

String taskId =“"";

System.out.println("fwUrl: "" +fwUrl);

createScanTaskRequest createScanTaskRequest = new createScanTaskRequest();

createScanTaskRequest.setFwrl("https://iotx-ota-daily.oss-cn-shanghai.aliyuncs.com/ota/eeb091ede5e54c456

createScanTaskRequest.setEmail("test.fssgalibaba-inc.com");

createscantaskRequest.setFwId( "test-fwId"");

createScanTaskRequest.setFwld(fwld);

createScanTaskRequest.setFwdiame("208UXD2D0.bin"") ;

createScanTaskRequest.setFwUrl(fwUrl) ;

createScanTaskRequest.setFwversion(""i.0.e""》;

createScanTaskRequest.setDetectionRuleCodes(""BASIC"");

createScanTaskResponse cResponse = iAcsClient.getAcsResponse(createScanTaskRequest);

System.out.println("createScanTask response: " + 35ON.toJS0NString(cResponse));

System.out.printIn(""TaskId:" + cResponse.getData( ).getTaskId());

System.out.println("Code: " + cResponse.getcode( ));

System.out.println("Message: " + cResponse.getNMessage());

检测完成后可以点击查看检测报告

进入此界面

查看检测报告中的信息

FSS 支持阿里云主账号和子账号,提供三种方式进行固件的安全检测:

通过 FSS 控制台

使用开放接口,调用相关接口提交固件检测、获取检测报告。

通过在阿里云物联网平台的“固件升级开启固件安全检测。

准备工作

主账号访问

如果还没有阿里云账号,先注册阿里云账号,如果没有完成实名认证,先进行个人实名认证

在浏览器地址栏中输入https://fss.iot.aliyun.com

使用主账号下的 AccessKeyId 和 AccessKeySecret 访问 FSS 开放接口。

通过 FSS 控制台开启检测

登录到 loT 固件安全检测控制台

单击“新建任务”,开始设置检测任务。

提交待检测的固件

说明 上传固件:

需要您选择要检测的固件文件进行上传。

固件地址:您需要输入固件的 URL(仅支持阿里云 OSS 地址),任务启动后会自动下载该固件并执行检测任务。

可选:设置任务名称。用于区别和标识不同的检测任务。

单击“开启检测”,确认固件信息,勾选“我已阅读,并确认以上声明”,单击“开始检测”。

查看检验报告

检测任务状态为“任务完成”,则可以查看检测报告。

单击“查看报告”,在线查看检测报告结果。

单击“下载报告”,下载检测报告结果到本地。

相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
77 12
|
19天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
2月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
61 8
|
4月前
|
存储 安全 物联网
物联网(IoT)安全:挑战与解决方案
【8月更文挑战第5天】物联网(IoT)深刻改变着我们的生活,但随之而来的安全挑战不容忽视。面对设备身份验证复杂、数据隐私泄露、软件漏洞及资源受限等问题,本文提出加强身份验证、加密保护、定期更新、安全开发生命周期、多层次防御、安全培训及标准化合作等解决方案,旨在构建一个更加安全可靠的物联网环境。
|
6月前
|
供应链 安全 物联网
物联网(IoT)安全:风险与防护策略
【6月更文挑战第26天】物联网(IoT)安全风险包括数据泄露、设备劫持、DDoS攻击、超级漏洞和不安全设备。防护策略涉及强化设备安全设计、建立认证授权机制、加密数据传输、实施安全监控、加强供应链管理、提升用户安全意识及采用零信任模型。多层面合作以降低安全威胁,确保物联网稳定安全。
|
物联网 开发者
NB-IoT 中 PTW 和 eDRX 周期配置 | 学习笔记
快速学习 NB-IoT 中 PTW 和 eDRX 周期配置
NB-IoT 中 PTW 和 eDRX 周期配置 | 学习笔记
|
安全 物联网 物联网安全
物联网安全IoT攻击向量威胁
物联网主要有两种感染途径:暴力破解弱密码和利用网络服务中的漏洞。
189 0
EMQ
|
传感器 算法 网络协议
MQTT 客户端自动重连最佳实践|构建可靠 IoT 设备连接
本文介绍在MQTT客户端代码实现过程中,自动重连逻辑设计的重要性与示例,帮助读者设计更为合理的重连代码,构建更加稳定可靠的物联网设备连接。
EMQ
1173 0
MQTT 客户端自动重连最佳实践|构建可靠 IoT 设备连接
|
传感器 监控 数据可视化
IoT Studio 物联网可视化应用搭建开发实践
阿里云 IoT Studio 物联网可视化应用搭建开发实践
23738 4
IoT Studio 物联网可视化应用搭建开发实践