Cybellum 固件包上传扫描流程操作手册

本文档详细介绍了在 Cybellum Platform 3.11 版本中上传固件包并进行 SCA软件组成分析扫描的完整操作流程。目录概述操作前准备操作步骤详解步骤一进入组件管理页面步骤二创建新组件步骤三填写组件基本信息步骤四上传固件文件步骤五确认创建并启动扫描步骤六监控扫描进度步骤七查看扫描结果扫描流程详解4.1 提取阶段 (Extraction)4.2 分析阶段 (Analysis)4.3 包识别阶段 (Package Identification)扫描结果说明支持的文件格式常见问题与注意事项1. 概述Cybellum Platform 支持通过上传二进制固件文件创建组件并自动执行软件组成分析SCA。该技术能够从固件中提取有价值的信息包括分析内容说明SBOM软件物料清单识别固件中包含的所有开源软件包漏洞信息自动关联已知漏洞CVE代码弱点检测二进制级别的安全弱点恶意软件识别潜在的恶意代码加密密钥发现嵌入的加密密钥配置信息分析系统配置和隐私风险硬件信息识别硬件组件和接口2. 操作前准备2.1 权限要求权限说明dt_create创建组件权限dt_update_asset_info更新组件资产信息权限dt_update_version_info更新版本信息权限2.2 文件准备重要提示确保上传的固件文件未被加密扫描加密文件可能产生意外结果建议文件大小不超过系统限制大文件可能需要更长扫描时间确认文件格式在支持列表中详见第6章3. 操作步骤详解步骤一进入组件管理页面登录 Cybellum Platform在左侧导航栏中点击Asset Management资产管理点击Components组件菜单项进入组件页面后可以看到现有组件列表及其状态信息。步骤二创建新组件在组件页面右上角点击Create Component创建组件按钮在下拉菜单中选择Binary File (firmware)二进制文件/固件选项说明选择 Binary File (firmware) 表示将通过 SCA 技术分析上传的固件文件。步骤三填写组件基本信息在弹出的创建向导中填写组件的基本信息。3.1 必填字段字段名说明Name组件的唯一名称Version组件版本号无需遵循语义化版本规范Lifecycle phase生命周期阶段Business unit业务单元根据平台版本提供下拉选项Scanner type扫描引擎类型目前仅支持 ‘Cybellum’3.2 生命周期阶段选项阶段说明Concept概念阶段Design设计阶段Development开发阶段Validation验证阶段Production生产阶段Post-Production / Support后生产/支持阶段End of Cybersecurity Support网络安全支持终止3.3 高级扫描选项选项说明注意事项Scan as Microcontroller启用微控制器优化处理会显著增加扫描时间谨慎使用Use advanced AUTOSAR recognition启用高级 AUTOSAR 模块识别需与微控制器选项配合使用3.4 扩展字段可选点击More Details按钮可显示更多可选字段字段名说明Component Type组件类型CAL网络安全保证等级1-4级Version Date版本创建日期Description组件描述Distribution使用范围外部使用/SaaS/内部使用/开源共享SBOM PhaseSBOM 阶段Design/Source/Analyzed/Build/Deployed/RuntimeSBOM TimestampSBOM 时间戳SBOM Type组件类型application/framework/library/controller等Workflow工作流配置Tags用户定义标签Vendor供应商名称Model型号名称Part number部件编号Client客户名称步骤四上传固件文件填写完基本信息后点击Next按钮进入上传界面。4.1 上传方式支持两种上传方式方式说明Local filesystem从本地文件系统上传From a URL从指定 URL 下载​编辑4.2 上传操作选择上传方式选择或指定固件文件等待文件上传完提示支持的文件格式详见第6章步骤五确认创建并启动扫描确认文件上传完成点击Create按钮系统开始创建组件并启动扫描流程创建成功后新组件将出现在组件列表中状态显示为Processing处理中。步骤六监控扫描进度6.1 查看扫描状态在组件列表中可以查看扫描状态状态说明Queued排队等待Processing正在处理Completed扫描完成Error扫描出错6.2 查看详细信息点击组件行进入组件详情页面。点击右上角的信息图标可查看扫描详细信息​编辑扫描信息包含组件 ID创建时间扫描统计排队、开始、提取、完成时间扫描持续时间Worker ID扫描状态扫描引擎版本信息6.3 下载扫描日志如需故障排查可点击Download Extraction and Analysis Logs按钮下载完整日志​编辑步骤七查看扫描结果当组件状态变为Completed后可以查看完整的扫描结果。7.1 组件概览点击组件进入详情页面概览标签页显示统计信息组件类型识别的操作系统接口数量SBOM 包数量唯一许可证数量最旧的 SBOM 包版本日期7.2 文件树查看进入Files标签页可浏览提取后的文件结构文件信息包含ID内部文件 IDMIME 类型MD5/SHA1 哈希值文件大小缓解措施二进制加固机制系统文件标识访问控制信息Owner、Permissions文件内容预览前 20KB7.3 SBOM 管理进入SBOM标签页查看识别的软件包​编辑包信息包含包名称和版本供应商信息许可证信息EOL生命周期终止状态风险评分7.4 其他分析结果标签页内容HardwareHBOM 硬件物料清单Network网络接口、IP 地址、防火墙配置Cryptography加密密钥识别结果Configurations Privacy配置和隐私分析结果​编辑4. 扫描流程详解固件扫描流程分为三个主要阶段4.1 提取阶段 (Extraction)提取阶段是 SCA 扫描的第一步负责解包和提取固件文件。流程说明上传文件 → 文件识别 → 类型分类 → 解包提取 → 元数据收集 → 文件系统存储详细步骤数字孪生识别系统识别上传的组件版本文件将路径发送给提取工作器文件类型识别遍历文件使用 MIME 类型和自定义逻辑识别文件类型提取执行按预配置的提取器引擎顺序提取文件元数据收集收集文件名、大小、哈希值、权限等信息文件系统存储提取的文件系统存储到磁盘通常约为原文件 3.5 倍大小提取引擎架构提取工作器运行在独立的 Docker 容器中包含提取工作器容器控制器和主引擎逻辑提取引擎容器执行提取过程提示系统支持通过插件机制扩展自定义提取器支持专有格式。4.2 分析阶段 (Analysis)分析阶段在提取完成后执行由多个分析引擎并行处理。分析引擎引擎功能SBOM 引擎软件包识别信息泄露引擎敏感信息检测加密密钥引擎加密密钥识别注册表引擎Windows 注册表解析…其他专用引擎分析特点并发批处理使用线程和进程池提高吞吐量领域专一每个引擎负责特定领域的信息收集结果存储分析结果存储到数据库并关联到组件版本分析工作器架构分析工作器运行在独立的 Docker 容器中包含分析工作器容器控制器和主引擎逻辑组件标识符容器SBOM 识别4.3 包识别阶段 (Package Identification)包识别阶段负责识别固件中的软件包并生成 SBOM。流程图识别机制机制说明签名匹配查找二进制中的签名、函数符号、变量等模式和二进制匹配使用 YARA 规则或字符串匹配包管理器解析解析 dpkg、rpm、npm、pypi、NuGet 等清单和配置文件解析 pom.xml、os-release、IPA 文件等文件元数据分析 PE、ELF 头信息结果处理流程结果归一化合并不同引擎的识别结果处理版本差异置信度分类将结果分为低、中、高置信度元数据加载匹配 Cybellum 映射的包元数据SBOM 转换将识别结果转换为 SBOM 对象存储版本候选当无法精确识别版本时系统会显示版本候选列表​编辑证据信息可查看包识别的证据信息5. 扫描结果说明5.1 组件页面列信息列名说明Name组件名称Version组件版本Version Type版本类型Default/NoneType组件类型分类CAL组件评估等级Vendor供应商Lifecycle Phase生命周期阶段Last Update最后更新日期Status扫描状态Business Unit业务单元Part Number部件编号Architectures检测到的系统架构Scan Date扫描日期Uploaded File Size上传文件大小Extracted File Size提取后文件大小5.2 KPI 指标KPI说明Num of unknown vulnerabilities未知漏洞数量Num of known vulnerabilities已知漏洞数量Num of malwares恶意软件数量Num of packagesSBOM 包数量Num of passwords检测到的密码数量Num of HBOM硬件物料清单条目数Num of cryptographic keys加密密钥数量Max Risk Score最高风险评分6. 支持的文件格式6.1 文件系统类别支持的文件系统Linuxext2/3/4, JFS, JFFS2, UBIFS, btrfs, CramFS, SquashFS, xfs, minix, reiserfs, EROFSAndroidext4, sparse image, boot imageQNXQNX4, QNX6, QNX-EFS, QNX-IFS, QNX-QTD, QNX Trusted Safe FSWindowsNTFSmacOSMacintosh HFS其他ISO 9660/UDF, YAFFS, FreeBSD UFS, Thread-X, Linux Kernel Containers6.2 压缩和归档格式7-zip, AR, ARJ, bzip2, compress, cpio, gzip, lrzip, lzip, LZ4, LZH, LZMA, lzop, PLF Parrot, RAR, rzip, TAR, XAR, XZ, ZIP, StuffIt, zStandard, ACE, ZOO, ZPAQ6.3 安装包格式类别支持格式LinuxDebian (.deb), Red Hat RPM (.rpm)macOSDMG, PKGWindows.exe, .msi, .cab, .mzzAndroidAPK, OTAiOSIPA其他Intel HEX, ODX, U-Boot Ambarella, TPLink, TRX UEFI, VBF, VxWorks ROS, Xerox DLM 等6.4 虚拟和磁盘镜像格式EFI Boot, QEMU QCOW2, VMware VMDK, VirtualBox VDI/VHD, SREC, FFU, Uboot Image 等6.5 微控制器文件格式.bin, .hex, .s19, .s, .s1, .s2, .s3, .s37, .sx, .srec, .elf6.6 SBOM 标准格式格式版本导入导出CycloneDx1.2-1.6 JSON/XML✓✓ (JSON)SPDX2.1-2.3 多种格式✓✓ (TagValue/JSON)7. 常见问题与注意事项7.1 扫描时间相关情况原因建议扫描时间过长启用了微控制器扫描选项仅在必要时启用扫描时间过长启用了高级 AUTOSAR 识别仅在需要时启用扫描排队等待系统资源占用高等待其他扫描完成大文件扫描慢文件提取占用空间大预留足够磁盘空间7.2 扫描结果相关问题原因解决方案结果不完整某些引擎失败查看警告图标了解详情版本未识别二进制信息不足以区分版本手动设置版本包识别置信度低识别证据不足查看证据信息并手动确认7.3 文件上传相关问题原因解决方案加密文件扫描异常无法正确提取加密内容确保文件未加密格式不支持文件格式不在支持列表联系支持团队定制上传失败文件过大或网络问题检查网络连接和文件大小7.4 配置优化扫描配置可通过以下路径调整路径Configurations Help → Application → Assets → Component Scan配置项说明Find Referencing Paths搜索动态加载的 SBOM 包相关文件Find Extended Information Leaks识别日志消息、函数名、硬件信息泄露注意启用以上选项会延长扫描时间。附录快速参考卡片操作流程速览1. 进入 Asset Management → Components ↓ 2. 点击 Create Component → Binary File (firmware) ↓ 3. 填写组件名称、版本等基本信息 ↓ 4. 选择上传方式上传固件文件 ↓ 5. 点击 Create 确认创建 ↓ 6. 等待扫描完成状态变为 Completed ↓ 7. 查看扫描结果SBOM、漏洞、文件树等扫描阶段概览上传 ──→ 提取 ──→ 分析 ──→ 包识别 ──→ 结果存储 (Extraction) (Analysis) (Identification)