▶二进制漏洞扫描支持的编程语言类型：C/C++/Java/Go/JavaScript/Python。

二进制漏洞扫描支持的文件：.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件，及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

二进制漏洞扫描支持上传的文件大小：不超过5GB。

二进制漏洞扫描平均扫描时间预估：根据不同的压缩格式或者文件类型扫描时长会有一定的差异，平均100MB/6min。

二进制漏洞扫描服务采用基于软件版本的方式检测漏洞，不支持补丁修复漏洞场景的检测。

对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类：

-开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。

-安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。

-信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。图1 风险项

二进制成分分析漏洞扫描基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中文件包含的开源软件清单，并分析是否存在已知漏洞、License合规等风险。用户扫描完成后，建议按照以下步骤进行分析排查：

1. 开源软件分析，分析开源软件是否存在以及软件版本是否准确。
2. 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件，然后分析该文件中开源软件是否存在或准确（可由相关文件的开发或提供人员协助分析），如果否，则无需后续分析。
3. 已知漏洞扫描分析，分析已知漏洞是否准确。
4. 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号，获取漏洞扫描详情
5. 概要分析：查看影响的软件范围，如CVE-2021-3711在NVD社区中的Known Affected Software Configurations，如下图，确认漏洞是否影响当前使用的软件版本，如果当前使用的软件版本不在影响范围内，则初步说明漏洞可能不涉及/影响。
6. 
7. 精细化分析：漏洞通常存在于某些函数中，可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式，如下图，用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
8. 
9. License合规分析。基于报告中开源软件及对应的License分析软件是否合规，满足公司或准入要求。
10. 风险解决方式：
11. 已知漏洞：如果当前使用的软件版本存在漏洞，可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
12. License合规：如果使用的软件存在合规风险，则需要寻找相似功能且合规的开源软件进行替代。

1.二进制成分分析漏洞扫描会检测用户包中一些安全配置项是否合规，主要如下：

-用户上传的软件包/固件中存在的敏感文件，如（密钥文件，证书文件，源码文件, 调试工具等）。

-用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统，则不涉及。

2.二进制安全配置类检查问题分析指导：

导出PDF报告，搜索【安全配置检查概览】关键字，可以看到各检查项的结果，pass表示通过，failed表示未通过，NA表示不涉及（若无操作系统，则针对操作系统配置检查项为不涉及）。搜索【安全配置检查】关键字，可以查看具体每项的检查结果。

检查结果说明：

-审视项：检查的方式/方法。

-问题：存在问题的文件列表，若无问题则显示暂无问题。

-建议值：针对检查出的问题给出的修改建议。

-描述：审视项描述。

二进制成分分析漏洞扫描基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中是否存在信息泄露类风险，如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。

针对已识别的信息泄露类风险，可以通过查看导出报告中的告警详情，如PDF漏洞扫描报告，可以在结果概览中确认是否有信息泄露风险。如果有，则可以查看相应信息泄露明细，每个告警都会包含以下几个说明，针对工具扫描出的风险清单，用户可以基于自身实际使用情况判断是否有信息泄露风险，如存在，则采取不同措施屏蔽或修改即可。

-问题类型：IP泄露/硬编码密码/Git地址泄露等。

-文件路径：发现信息泄露的文件在包中的全路径。

-上下文内容：发现风险的文本行内容，包含风险内容和上下文内容。

-匹配内容：实际发现的风险内容。

-匹配位置：在文件中x行，x位置发现的信息泄露风险。