checksec_script/requirements.md

RPM 包安全特性大规模扫描系统 - 需求文档

1. 项目背景

需要对 RPM 软件源中的所有二进制文件进行安全特性扫描，检查编译时开启的安全保护机制（如 PIE、NX、Stack Canary、Fortify Source 等），以评估软件源的整体安全状况。

2. 核心需求

2.1 基本功能

1. RPM 包获取

   • 从 RPM 软件源获取所有 RPM 包列表
   • 支持配置软件源地址

2. 二进制文件提取

   • 从 RPM 包中提取二进制文件
   • 关注路径：/usr/bin, /bin, /usr/sbin, /sbin, /usr/lib64, /usr/lib
   • 识别 ELF 格式文件（可执行文件、动态库）

3. 安全检查

   • 使用 checksec 工具检查 ELF 文件
   • 检查项包括：
     • PIE (Position Independent Executable)
     • NX (No-Execute)
     • Stack Canary (Stack Protection)
     • Fortify Source
     • RELRO (Relocation Read-Only)
     • BIND_NOW
     • 涌出保护

4. 结果输出

   • 支持 CSV 格式导出
   • 支持生成统计报告

2.2 大规模扫描需求

2.2.1 性能要求

• 支持扫描数千个 RPM 包
• 并行处理提升效率
• 预计单次扫描时间：合理范围（待定）

2.2.2 预筛选优化

• 排除 noarch 架构的包（主要是 Python/Perl/文档）
• 使用 dnf repoquery 提前识别包含二进制文件的包
• 只处理 x86_64 架构的包

2.2.3 并行处理

• 使用 GNU Parallel 进行并发
• 可配置并发数（如 -j 8）

2.3 异常处理需求

1. 软链接处理

   • 避免重复扫描同一个文件（如 /bin → /usr/bin）
   • 使用 find -type f 只处理真实文件
   • 基于 inode 去重

2. 动态库处理

   • 正确识别 .so 文件
   • 处理插件式动态库（/usr/lib64 下的插件）

3. 内核模块排除

   • 排除 .ko 内核模块文件
   • 理由：checksec 的某些检查项（如 PIE）对内核模块不适用

4. 错误处理

   • 网络下载失败重试
   • 损坏的 RPM 包处理
   • 解压失败处理
   • checksec 超时处理

3. 数据输出需求

3.1 统计指标

• PIE 覆盖率（开启 PIE 的文件占比）
• NX 覆盖率
• Stack Canary 覆盖率
• 危急项统计（如 NX 为 Disabled 的文件）

3.2 数据存储

• 初期：CSV 格式
• 进阶：数据库支持（SQLite/MySQL）
• 可视化：Dashboard 展示

4. 技术约束

1. 操作系统：Linux（支持 DNF/YUM 包管理器）
2. 依赖工具：
   • dnf 或 yum（RPM 包查询）
   • checksec（安全特性检查）
   • GNU Parallel（并行处理）
   • rpm2cpio（RPM 包解压）
   • file（文件类型识别）

5. 扩展需求

5.1 增量扫描

• 记录已扫描的包
• 支持只扫描新增或更新的包

5.2 断点续传

• 扫描中断后可继续
• 避免重复扫描已完成的部分

5.3 分布式扫描（未来）

• 支持多机并行扫描
• 结果汇总

6. 交付物

1. 扫描脚本（Shell/Python）
2. 配置文件
3. 使用文档
4. 示例报告

7. 非功能性需求

1. 可维护性：代码清晰，注释完整
2. 可扩展性：易于添加新的检查项
3. 可靠性：异常处理完善
4. 性能：支持大规模扫描