现代应用程序很大程度上依托于第三方代码以及能够将很多内容结合在一起的特定应用程序。这是被 广泛接受的资源节约开发惯例，其可以免去应用程序中的非核心功能开发任务。每一个第三方代码均具有 相关许可，这对你的应用程序的发布和授权都会产生影响。此外，第三方代码可能包含已知的漏洞或 CVEs， 其会对你的应用安全产生影响。

识别第三方代码以及其漏洞和许可，这对于了解安全漏洞和相关责任至关重要。 Codenomicon Protecode  采用了二级制扫描技术，以提供下列主要功能：

•       识别第三方软件包和第三方库文件。

•       在被扫描的应用软件中，识别用于第三方代码的绑定软件许可。

•       找出可能对你的应用软件造成安全风险的第三方组件漏洞。

•       当报告有新的漏洞对组件使用构成威胁时，能够基于保存的应用指纹进行报警。

<!--[if !vml]-->
<!--[endif]-->•       易于操作的界面：只需按下按钮，即可上传你的二级制文件。无须安装！

用于移动设备的应用软件

思杰接收器是通过 Citrix XenApp 和 XenDesktop 环境，对企业应用软件 进行远程访问的安卓移动

应用程序。Protecode 检测出在接收器应用中 具有三个不同的过期版本，其存在漏洞。合并同一

库文件中的多个版本， 是一种存在争议的开发惯例，但更重要的是，采用 OpenSSL 的旧版本， 会

使得接收器的用户暴露在已知风险中。通过静态链接而不是同时使用 OpenSSL 的三个不同版本，

可以使接收器始终保持最新的无漏洞库文件版本。

用于固件

现代化的嵌入设备采用了嵌入式操作系统，比如：Linux、QNX、Green Hills或 VxWorks。此类操作

系统与内核、用户代码和应用软件一并提供。各部件可能会过期，并会使得操作系统处于安全风险

中。Protecode 允许你扫描包括第三方代码在内的固件，并能够快速提供有关已知漏洞和对应许可

的信息。Protecode 扫描到一个 Siemens S7-1200PLC SCADA 固件需 要 升 级 ， 并 检 测 到 一

个 旧 的 ， 易 受 攻 击 的 OpenSSL 版 本（CVE-2012-2333）。

用于软件

对 Adobe Acrobat Reader XI 的分析显示在目前的软件应用中采用了第三方代码的程度及范围。虽然

借用代码和重复使用代码可以节省开发时间和费用，但保持最新的安全公告以及对库文件进行更

新，也十分重要。Protecode 可以帮助开发人员进行版本控制和软件库变更管理