.png)
行业领军企业的共同选择
尖端技术 × 专家智慧 双擎驱动
操作零门槛
专为开发团队、产品安全响应小组(PSIRT)和产品经理设计的友好界面,点点鼠标就能节省时间、降低成本。
全流程覆盖
从产品设计到退市维护,所有网络安全与合规需求,一个平台全面满足。
专家级护航
不仅是工具,更可利用我们全球顶尖渗透测试专家的知识—他们正是平台的开发者,随时提供咨询服务。
专为降低风险与工作量而设计的功能特性
端到端平台助力简化安全流程,轻松达标合规要求
软件物料清单(SBOM)管理
自动保障软件供应链安全
• 快速生成、导入和监控SBOM文件,支持CycloneDX等标准格式一键导出
• 支持从二进制镜像、源代码扫描器导入组件信息,或整合第三方数据
• 可独立上传不含源码的SBOM文件
• 平台全天候自动监测新旧漏洞动态
自动化漏洞分析
显著缩短修复周期
• 全年无休自动扫描全产品线的新威胁
• 智能标记关键漏洞,集中资源优先修复
• 定期自动化评估,持续完善安全防护体系
自动化影响评估
精准聚焦关键漏洞
• 分钟级处理数千个CVE漏洞
• 结合固件环境分析漏洞实际影响
• 自动收集证据并生成可视化报告
• 提供直观的漏洞匹配评分系统
产品网络安全合规
轻松满足合规要求
• 专利技术Compliance Wizard™向导式指引:
– 欧盟网络弹性法案(CRA)
– IEC 62443工业标准
– ETSI 303 645物联网规范
• 自动化合规分析与文档生成
• 可定制的评估模板与审计追踪
零日漏洞检测
发现IoT/OT未知威胁
• 智能设备与工控系统专项检测
• 识别命令注入、不安全通信等漏洞
• 静态代码分析追踪数据流
• 快速定位潜在安全风险
固件安全监控
实时风险扫描
• 每日自动重新分析固件
• 持续更新的漏洞数据库
• 重大风险即时预警
• 全面追踪安全改进历程
开源许可证检测
规避法律风险
• 快速识别许可证冲突
• 自动化合规审计
• 完整的诉讼证据链
• 精准的许可证管理记录
自定义分析配置
灵活威胁建模
• 个性化威胁规则集成
• CVE优先级管理
• 误报过滤机制
• 自定义风险接受阈值
• 无缝对接现有安全策略
合规支持
市场准入必须遵循的法规/法律
- EN 18031-1: Common Security Requirements for Radio Equipment – Part 1: Internet-connected radio equipment,欧盟法规要求,进入欧盟市场的 IoT 设备必须符合。
- EU: Cyber Resilience Act (CRA),欧盟新立法,未来对所有联网产品强制适用,需满足安全生命周期要求。点击阅读>> 全面解读 CRA :抓住欧盟网络安全新规下的合规机遇
- ETSI EN 303 645:消费者物联网设备在欧盟市场基本安全要求,英国、芬兰、德国、法国已直接采用为强制标准。
- GOV.UK: Code of Practice for consumer IoT security,英国法规要求,IoT 产品进入英国市场必须遵循。
- LEGINFO CA GOV: SB-327,加州法律,要求 IoT 设备有唯一或强认证密码,强制执行。
- UK: Product Security and Telecommunications Infrastructure Act 2022 (PSTI Act),英国 IoT 产品强制性法规,自 2024 年全面实施。
- UN: Regulation No. 155,汽车行业网络安全管理法规,进入欧盟汽车市场必须符合。
认证、招标、行业合规方面常被要求
- CSA.GOV.SG: Cybersecurity Labelling Scheme 1.1,新加坡物联网产品安全标签计划,进入新加坡市场通常需要。
- ENISA:Baseline Security Recommendations for IoT,欧盟网络安全局建议,多种欧盟合规框架作为参考。
- IEC 62443-4-2:工控系统/工业 IoT 国际标准,部分行业客户强制要求。
- ioXt:2020 Base Profile,国际 IoT 安全认证联盟标准,被 Google、Amazon 等生态要求。
- NIST IR 8259A:美国 IoT 安全能力基线,美国政府采购和企业合规常用。
漏洞检测
- CA证书验证失败
- 证书验证失败
- 代码分析:SQL注入
- 代码分析:代码注入
- 代码分析:命令注入
- 代码分析:危险服务启动
- 代码分析:文件包含
- 代码分析:格式字符串
- 代码分析:头部注入
- 代码分析:phpinfo信息泄露
- 代码分析:不安全的反序列化
- 代码分析:松散相等性检查
- 代码分析:缺少对等方验证
- 代码分析:对象实例化
- 代码分析:路径遍历
- 代码分析:明文通信
- 代码分析:栈缓冲区溢出
- 代码分析:弱加密
- 自定义用户定义漏洞
- 危险服务启动
- ELF缺少Fortify保护
- ELF缺少完整只读重定位
- ELF缺少即时绑定
- ELF缺少不可执行栈
- ELF缺少栈保护
- ELF非位置无关代码/可执行文件
- ELF未去除符号信息
- 过期证书
- 硬编码SSH主机密钥
- 硬编码账户密码
- 硬编码包含私钥的证书
- 硬编码凭证
- 硬编码私钥
- 信息泄露:.DS_Store文件
- 信息泄露:.svn目录
- 信息泄露:Vim交换文件
- 恶意软件
- 不安全的Android构建配置
- 不安全的Dropbear SSH服务器启动
- 不安全的OpenSSH服务器配置
- 不安全的RSA指数
- 不安全的管理协议
- 无效证书
- 缺少对等方验证
- 过时的证书版本
- 过时的通信协议
- 明文通信
- 权限提升
- SSH授权密钥风险
- 证书密钥长度过短
- 可信CA不匹配
- 不必要的软件
- 漏洞模式
- 弱证书签名算法
- 弱密码套件使用
- ……
支持的固件格式
| 序号 | 固件格式 | 处理类型 | 是否完全支持? |
| 1 | 7-ZIP | ARCHIVE | 完全支持 |
| 2 | ADVENICA IMAGE | ARCHIVE | 不支持加密分区 |
| 3 | ALCATEL IMAGE | ARCHIVE | 完全支持 |
| 4 | ANDROID AVB | FILESYSTEM | 完全支持 |
| 5 | ANDROID BINARY XML FORMAT (AXML) | ARCHIVE | 完全支持 |
| 6 | ANDROID BOOTIMG | FILESYSTEM | 完全支持 |
| 7 | ANDROID BOOTLOADER (ABL) | ARCHIVE | 完全支持 |
| 8 | ANDROID DTBO | FILESYSTEM | 完全支持 |
| 9 | ANDROID EROFS | FILESYSTEM | 完全支持 |
| 10 | ANDROID OTA | FILESYSTEM | 完全支持 |
| 11 | ANDROID SPARSE | FILESYSTEM | 完全支持 |
| 12 | ANDROID SPARSE (TRANSFER LIST) | FILESYSTEM | 完全支持 |
| 13 | ANDROID SUPER | FILESYSTEM | 完全支持 |
| 14 | ANDROID VENDORIMG | ARCHIVE | 完全支持 |
| 15 | AR | ARCHIVE | 完全支持 |
无缝集成您的工作流程
通过ONEKEY端到端平台,简化网络安全工作流程并实现合规目标
Azure Entra ID
支持所有兼容OpenID Connect标准的身份提供商实现单点登录(SSO)
Jenkins
在CI/CD流水线编排工具中集成自动化质量门控
Splunk
通过SIEM工具实现威胁自动检测与工单创建
Power BI
向利益相关方共享仪表盘和关键绩效指标(KPI)数据
Jira
在工单系统、项目管理和协作工具中直接创建任务
GitLab/GitHub/Bitbucket等
通过DevOps工具上传固件并查询分析结果
客户见证
Swisscom借助ONEKEY自动化固件分析年省数十万
Swisscom是瑞士最大的电信与IT服务提供商,在国内宽带和移动市场占有率超过60%。客户使用的终端设备种类繁多,包括各类Wi-Fi路由器、中继器和热点等IoT设备。以往固件升级时若发生断电或版本冲突,平均每次事故会造成约37.4万瑞士法郎的技术支持和设备维修成本。通过引入ONEKEY自动化安全平台构建固件安全分析体系,Swisscom不仅成功避免了高额事故损失,还提升了供应商议价能力和设备决策效率。>>阅读全文
ONEKEY已成为我们应用安全与合规管理的核心工具。通过持续自动化安全评估,它不仅提升了客户项目的透明度,更确保符合欧盟CRA法规要求。其实时洞察让我们能为客户提供清晰可执行的产品安全建议。"
Timon Bergman
应用解决方案经理
ONEKEY自动化二进制分析技术使产品安全管理效率显著提升,在减少70%人工操作的同时,漏洞检测率提升3倍。专家团队的全程护航让系统对接格外顺畅。
Connie Gray
工程与网络安全高级总监
与ONEKEY的合作令人大开眼界,他们的安全专业能力远超预期。
Nigel Hanson
应用安全与硬件安全专家
我们采用ONEKEY自动化固件分析技术,为客户提供全生命周期安全监控服务,在保证效率的同时实现了业界领先的服务质量。
Joël Conus
物联网研发与服务副总裁
ONEKEY自动化检测嵌入式设备关键漏洞的能力,让我们能将手动测试资源集中投入业务逻辑验证,整体安全测试效率提升40%。
Wolfgang Baumgartner
全球安全咨询主管
通过ONEKEY的预发布安全筛查,所有软件版本在上线前都经过严格检测,新功能接口的安全性得到充分保障。
Giulio Grazzi
高级安全顾问
文章资讯
艾体宝新闻 | 应对新型 IoT 僵尸网络攻击,ONEKEY 方案守护安全
ShadowV2 的出现,为 IoT 安全提出告警。艾体宝 ONEKEY 解决方案通过自动化固件扫描与实时漏洞管理,能够帮助企业快速识别风险并加固设备安全。
艾体宝干货 | 超全 CRA 合规全景图:从法规解读到落地实操,一篇就够了
欧盟推出的《网络弹性法案》是首个横跨整个 ICT 产品领域的强制性网络安全法规,其出台填补了欧盟在数字产品安全监管方面的空白,为构建更安全、更可靠的数字生态体系奠定了坚实的法律基础。
艾体宝干货丨全面解读 CRA :抓住欧盟网络安全新规下的合规机遇
随着欧盟《网络弹性法案》(Cyber Resilience Act, CRA)的正式实施,所有带有数字元素的产品必须满足更高的网络安全标准。本文全面解析CRA的生效时间、适用范围、主要义务要求,并详细介绍如何通过ONEKEY方案高效应对合规挑战,实现供应链安全与漏洞管理的自动化。
常见问题
获取关于保护联网产品安全的详细解答
如何确保产品在整个生命周期内保持安全?
通过ONEKEY平台,您将获得从开发到退市的全周期防护。我们的解决方案提供持续监控、自动化漏洞检测和定期更新机制,有效防御各类新兴威胁,确保您的产品在每一个阶段都获得可靠保护。
为什么需要集中式的网络安全与合规平台?
采用ONEKEY这样的统一平台可以显著优化您的安全与合规工作流程。这意味着更少的人工操作、更低的运营成本,以及清晰直观的产品安全状态总览。您将能够更快响应安全威胁,并确保产品始终符合最新的安全标准要求。
如何将网络安全策略整合到现有开发流程中?
ONEKEY能够与GitLab、Jenkins、Jira等各类开发工具无缝集成。通过将自动化安全检查嵌入现有工作流,您可以在不增加额外工作负担的情况下,在开发早期阶段就及时发现并修复漏洞,保持开发流程的高效与安全。
自动化产品安全能带来哪些优势?
自动化技术可以大幅减少人工操作、节省时间并降低错误率。ONEKEY通过自动化漏洞评估、合规检查和威胁检测等功能,让您的团队能够专注于核心业务。这不仅提升了整体安全水平,还能帮助您更快速地应对各类安全风险。
如何确保产品始终符合最新安全标准?
ONEKEY独有的Compliance Wizard™功能会持续跟踪相关网络安全标准的最新动态。它能帮助您快速识别新的法规要求,并以最小的调整成本完成适配。通过自动化的变更提醒功能,让合规管理工作变得简单高效。
快速入门指南
- Step 1:专业咨询
与安全专家进行初步需求评估,了解您的具体挑战。
- Step 2:定制演示
基于您的实际业务,体验个性化的平台功能演示。
- Step 3:获取方案
收到包含需求细节的定制化方案,快速启动项目。
联系我们
提交需求 我们会尽快与您联系
