固件解包与资产识别
识别固件格式、文件系统、CPU 架构、启动脚本、服务进程、Web 后台、配置文件、证书、密钥和主要第三方组件。
文件系统
启动脚本
组件版本
服务模块
只围绕固件审计的高价值问题展开。
服务对象不是“想了解安全”的泛客户,而是已经面临客户审查、出海合规、投标问卷、认证补材料或研发整改压力的项目团队。
SBOM 与组件证据
输出 SPDX / CycloneDX 格式清单,并对关键组件给出证据路径、版本来源、识别可信度和需要研发确认的边界。
SPDX
CycloneDX
证据路径
凭据、密钥与配置风险
检查默认账号、空密码、弱哈希、硬编码密钥、私钥、证书、调试接口、测试残留和敏感配置泄露。
默认凭据
硬编码密钥
调试残留
OTA 与安全启动证据
梳理升级包格式、签名校验、版本回滚、启动校验、恢复分区、升级脚本和异常处理逻辑。
升级链路
签名校验
回滚保护
CVE 初筛与影响解释
不是机械列 CVE,而是结合组件版本、暴露面、编译方式、运行路径和产品上下文,给出初步影响判断。
暴露面
可达性
影响说明
问卷与补材料支持
把客户安全问卷和认证补材料问题映射到固件事实,区分可证明项、需研发确认项和不建议承诺项。
问卷映射
证据附件
白标支持
交付内容
交付物按“可审阅、可整改、可复测”组织。
报告会把确认事实、合理推断、风险解释和待客户确认项分开写。对外材料避免超出证据能力边界,对内材料保留工程细节。
适合从一个固件版本或一个型号开始,先确认证据质量、组件复杂度和风险密度,再扩展到多个型号或产品线。
固件审计报告
- 固件结构、架构、文件系统与启动链路
- 关键组件版本、配置风险和敏感信息发现
- 证据路径、截图、命令输出和影响解释
- 风险等级、整改建议和待确认问题
SBOM 与证据附件
- SPDX / CycloneDX 清单
- 组件识别依据和可信度说明
- 关键二进制、配置文件、版本字符串索引
- 便于客户问卷引用的附件编号
客户问卷映射表
- 逐项问题对应固件证据
- 建议回答、证据编号和风险边界
- 研发需要补充确认的信息清单
- 不建议直接承诺的高风险表述
整改复测差异报告
- 整改前后固件差异
- 已关闭问题、残留风险和新增风险
- SBOM 更新与组件版本变化
- 复测证据附件和结论摘要
服务范围
明确售卖服务,避免抽象咨询。
客户给出固件、产品型号、目标市场、问卷或审查问题后,我们按可交付范围报价。
| 服务项 | 包含内容 | 典型使用场景 |
|---|---|---|
| 固件快速体检 | 解包、架构识别、组件初筛、敏感信息初筛、明显高风险项摘要。 | 售前判断、项目立项、客户临时追问、是否需要完整审计。 |
| 标准固件审计 | 完整固件结构分析、SBOM、凭据与密钥检查、CVE 初筛、OTA 与启动链路证据、整改建议。 | 客户安全审查、出海项目补材料、研发整改输入。 |
| 合规证据包 | 标准审计基础上增加问卷映射、证据附件编号、对外摘要、整改计划建议和交付沟通支持。 | 认证机构补材料、海外客户供应商审查、投标安全材料。 |
| 整改复测 | 对新固件执行差异分析、风险项复测、SBOM 更新、关闭项和残留风险说明。 | 客户要求闭环、研发版本发布前复核、认证补充材料更新。 |
价格
按固件数量、复杂度和交付深度报价。
以下为国内客户首期服务参考价。实际价格取决于固件数量、是否加密、文件系统复杂度、组件规模、问卷长度、是否需要白标交付和复测次数。
| 套餐 | 参考价格 | 交付内容 | 适合对象 |
|---|---|---|---|
| 快速固件体检 | ¥3,800起 / 固件 | 基础解包、组件初筛、敏感信息初筛、风险摘要,交付 5—10 页简版报告。 | 先判断风险密度,或销售 / 项目经理需要快速回应客户。 |
| 标准固件审计包 | ¥12,800起 / 型号 | 完整审计报告、SBOM、组件证据、凭据与密钥检查、CVE 初筛、整改建议。 | 有明确产品型号和固件,需要形成内部整改材料。 |
| 合规证据包 | ¥29,800起 / 项目 | 标准审计包 + 问卷映射 + 证据附件编号 + 对外摘要 + 一轮交付解释支持。 | 客户安全问卷、认证补材料、出海供应商审查。 |
| 整改复测包 | ¥4,800起 / 轮 | 新旧固件差异、问题关闭验证、残留风险说明、更新后的证据附件。 | 研发修复后需要向客户或认证伙伴说明整改结果。 |
| 机构白标支持 | 单独报价 | 按检测认证机构、咨询公司或系统集成商的交付模板提供后台技术分析。 | 需要固件审计能力但不希望自建团队的合作方。 |
合作流程
先小范围确认,再扩展到完整项目。
核心原则是控制范围、保留证据、分清事实和推断,避免报告无法复核。
1
需求确认
确认产品类型、固件版本、目标客户、问卷或审查问题、交付用途和时间窗口。
2
固件分析
执行解包、组件识别、敏感信息检查、升级链路梳理和漏洞影响初筛。
3
证据交付
输出报告、SBOM、证据附件、问卷映射和整改建议,标注确认事实与待确认项。
4
整改复测
客户完成修复后,对新版本执行差异复核,形成关闭项和残留风险说明。
团队
由长期深耕嵌入式与固件领域的工程团队交付。
团队成员均为本科以上背景,长期从事嵌入式系统、网络设备、虚拟化平台、驱动、固件、系统安全和工程调试相关工作。
20+
资深嵌入式工程经验
固件、驱动、网络设备、系统软件
核心成员具备约 20 年嵌入式与系统软件经验,覆盖 Linux / FreeBSD / 嵌入式 Linux / 网络设备 / 虚拟化平台 / 设备驱动 / 产品工程调试等方向。
厂商
大型技术公司项目背景
新华三、戴尔、VMware、博通等相关经验
团队成员曾服务或深度参与大型硬件、网络、虚拟化和芯片生态相关项目,理解产品交付、客户审查、研发整改和工程证据之间的约束关系。
审计
面向证据的审计方法
不是工具截图堆叠
交付强调证据链:文件路径、版本字符串、配置项、脚本逻辑、二进制线索、复现命令和影响解释,便于研发与客户双方复核。
保密
支持保密与白标合作
适配厂商、机构和咨询公司
可按客户项目要求签署保密协议;对检测认证机构、咨询公司和系统集成商,可提供后台技术分析和白标报告支持。
服务边界
纽格智能提供固件审计、技术证据提取、风险解释和整改复测支持,不替代检测实验室、认证机构、法律顾问或最终符合性评估主体。
- 不出具法律意义上的认证结论
- 不承诺替客户覆盖未知运行时环境
- 不把无法证明的内容写成确定结论
适合的项目输入
- 固件镜像、升级包、根文件系统或设备样机
- 产品型号、硬件版本、固件版本和目标市场
- 客户安全问卷、认证补材料要求或投标安全条款
- 已知风险、客户关注点和期望交付时间
联系
发送固件审计需求,先判断是否适合做首轮体检。
建议提供产品类型、固件文件、芯片架构、目标客户或认证背景、当前被要求补充的材料。无法直接提供固件时,也可先用问卷或补材料清单评估范围。
微信咨询
咨询范围:固件快速体检、标准固件审计、SBOM、客户问卷、整改复测、机构白标合作。
高级顾问 胡顺超