成分分析的扫描原理是什么，主要识别哪些风险？-九游平台

对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件bom清单和潜在风险清单。主要包括以下几类：

• 开源软件风险：检测包中的开源软件风险，如已知漏洞、license合规等。
• 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、os认证和访问控制类问题等。
• 信息泄露风险：检测包中信息泄露风险，如ip泄露、硬编码密钥、弱口令、 git/svn仓泄露等风险。

• 安全编译选项：支持检测包中二进制文件编译过程中相关选项是否存在风险。

  图1 风险项