Skip to main content

腾讯安全科恩实验室推出首款免费在线SCA平台:BinaryAI

· 4 min read

8月11日,腾讯安全科恩实验室正式发布在线软件成分分析平台——BinaryAI,首次将软件成分分析(Software Composition Analysis,SCA)技术推广到日常安全研究。 伴随着开源软件的迅速成长,应用软件中使用开源代码的比重逐年持续增长。然而,开源代码中的安全问题也让软件市场面临软件供应链安全的挑战。

BinaryAI闪亮登场

基于软件安全和人工智能领域的多年研究经验,科恩实验室积极布局软件成分分析方向,已落地并助力厂商修复软件安全问题,现在首次将SCA能力以平台型产品BinaryAI免费开放给用户,旨在推动软件成分分析在DevSecOps、安全研究等场景应用发展。 使用流程

BinaryAI是二进制文件SCA的智能分析平台,自动化完成文件解析到输出分析结果全部使用环节,帮助研究人员高效实现SCA线上检查的需求。

BinaryAI优势

专注二进制SCA

开源代码安全问题不仅存在于源代码,在构建过程中也会引入问题,因此构建阶段的二进制产物有必要进行SCA分析。使用BinaryAI可以确认软件所使用的第三方组件及具体版本号,及时发现引入的问题第三方库,便于研发团队跟进修复。

文件类型全覆盖

用户可以打开BinaryAI官网,上传待分析文件获取SCA功能,现已支持20M以下常见CPU架构的可执行文件及包格式文件的检测。BinaryAI实现智能化文件解包或解析、软件成分分析等分析流程。

后台数据资源丰富

经过长期积累,BinaryAI后台具备10000余种第三方组件数据,内容覆盖组件基本信息、开源许可证使用情况等信息,能够全面提升软件成分分析的检测水平,并在持续不断扩大支持范围中。现在向用户开放的信息为组件的基本信息。

SCA检测能力强

科恩实验室在近年发表了《Order Matters: Semantic-Aware Neural Networks for Binary Code Similarity Detection》、《CodeCMR: Cross-Modal Retrieval For Function-Level Binary Source Code Matching》等论文,在传统安全研究中利用AI算法解决二进制程序函数相似性分析和二进制代码/源代码端到端匹配问题,奠定了软件成分分析的算法基础。BinaryAI通过科恩自研的SCA算法,可以实现组件以及版本号高准确率匹配。

用户体验优先

基于上述能力,BinaryAI提供了网页版的使用途径。用户无需部署服务器,无需上传源代码文件,直接上传待分析的二进制文件,无需指定分析器,输出简洁、可读性高的报告,赋能用户开展安全分析。