此篇文章发布距今已超过285天,您需要注意文章的内容或图片是否可用!
2024年1月16日,在工业和信息化部网络安全管理局、北京市通信管理局的共同关心与指导下,以及北京市通信与互联网协会的大力支持下,中国软件评测中心(工业和信息化部软件与集成电路促进中心)和工业和信息化部移动互联网App产品安全漏洞专业库,于北京成功举办了第四期移动互联网App产品安全漏洞技术沙龙。会上公示了“2023年度移动互联网APP产品安全漏洞治理十大优秀案例”,“小米智能终端产品安全风险治理”项目入选,并获颁证书。
针对移动互联网上各类APP恶意行为频发的乱象,小米安全推出了移动应用的安全漏洞自动化扫描平台,该平台依托于小米内部与外部海量的APP及漏洞数据,根据初步扫描出来的漏洞线索,针对性地结合污点数据扫描结果,最终利用动静态结合的技术,达到自动化挖掘漏洞的最终目标。全方位地保障小米移动业务资产的安全,未来将赋能内部应用商店及外部合作伙伴,全方位加强各类APP的安全能力建设。
在该平台漏洞扫描的“三步走”中,第一步漏洞线索扫描中,会得出java层的漏洞线索(Android)、native漏洞线索(iOS、Android)及flutter漏洞线索,全方位覆盖了各类操作系统及各类架构的APP应用;第二步污点数据分析则根据不同情况,分为普通扫描和深度扫描,能够输出函数、参数的完整调用链路;第三步动静态结合,首先根据前两步的静态分析作为漏洞利用链路的输入,然后动态分析验证漏洞的可行性,最大化地保证了结果的准确性和完整性。“移动应用的安全漏洞自动化扫描平台”已经在内部的应用商店、生态链应用、IOT应用、汽车应用的上架与卡点落地,针对除手机外的的IOT、平板、智能家居、汽车等各类应用场景提供了丰富的接口,并结合小米安全应急响应中心(MiSRC)的外部白帽子提交的漏洞,在小米集团内部实现了漏洞发现、处置、汇报及发布的全流程闭环。未来小米安全将基于AI大模型技术提高漏洞挖掘的效率及准确率,在公司内部及外部社会提供更好的服务。 推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网
还没有评论,来说两句吧...