IoT固件安全检测有哪些检测风险？

检测结果统计的key为“risks”，类型为JSONArray，格式如下：

"risks": [ { "name": "", "code": "", "enCategory": "", "category": "", "description": "", "suggestion": "", "vulnInfos": [ { "severity": "", "filename": "", "detail": [], "cve": {} } ] } ]

字段定义如下： 字段 类型 描述 name String 风险类型中文名称 code String 风险类型英文名称或风险类型代码 category String 风险类型分组中文名称 enCategory String 风险类型分组英文名称 description String 风险描述 suggestion String 修复建议 vulnInfos JSONArray 风险详细情况列表

VulnInfo定义如下： 字段 类型 描述 filename String 受影响的文件名 severity String 风险安全等级 detail JSONArray 风险详细描述，不同风险描述也不相同 cve JSONObject CVE漏洞列表，只有当前分组为CVE漏洞（CveVuln），该字段才有效。

detail字段，保存检测到的非CVE漏洞的详细信息，定义如下： 字段 类型 描述 cnName String 详细信息的中文描述名 enName String 详细信息的英文描述名 value JSONArray 风险详细信息，以JSONArray 存储。

cve字段，保存检测到的CVE漏洞的详细信息，定义如下： 字段 类型 描述 cveId String CVE漏洞标识 cweId String CVE漏洞类型标识

impact JSONObject 定义漏洞攻击向量、风险等级等。优先使用cvssV3，其中vectorString为攻击向量、severity为风险等级。 cpe JSONObject 为Common Platform Enumeration的缩写，描述软硬件产品的唯一标识符。 参考下面的cpe结构说明。 description String 漏洞描述信息。 references JSONArray 参考信息。其中referenceType为参考类型，referenceSource为参考源，referenceUrl为参考链接地址。

cpe结构说明：

"cpe": { "cpeName": "", "cpeType": "", "allFixedVersion": { "expression": "", "version": "" }, "highCriticalFixedVersion": { "expression": "", "version": "" } }

说明 其中cpeName为cpe名称，cpeType 为cpe类型。

allFixedVersion为修复当前版本所有漏洞，需要升级到的版本建议。其中version表示版本号，expression表示version包含关系，如果为“>”表示需要升级到在大于version的版本；如果为”>=“表示需要升级到在大于或等于version的版本。

如果version为空，表示目前还没有可用的修复版本号。highCriticalFixedVersion，为修复当前版本中严重、高危漏洞，需要升级到的版本建议。