检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
快速创建一个二进制成分分析任务 本文介绍如何创建二进制成分分析任务并查看扫描报告,供用户快速体验开源治理服务的二进制成分分析功能。 前提条件 已注册华为账号并开通华为云。 已购买开源治理服务。 已准备好需要扫描的二进制软件包/固件。 约束与限制 支持检测 .zip、.rar、.tar、
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
扫描到恶意代码如何定位? 进入报告详情页面,打开恶意软件扫描结果,单击“文件名称”打开恶意代码详情,可以查看告警文件位置和扫描的恶意检测结果,可以通过关键日志定位具体告警位置。 图1 恶意代码详情 父主题: 二进制成分分析类
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件。 成分分析的扫描对象包含Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等。 成分分析扫描不支持扫描源码类文件。 父主题: 二进制成分分析类
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
添加二进制成分分析任务 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 操作视频 本视频介绍二进制成分分析的操作。 前提条件
成分分析的开源软件风险如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、许可证合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
成分分析的主要扫描规格有哪些? 支持的编程语言类型:C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP。 支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war、.rpm、
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、许可证合规等。
响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码:429
成分分析的任务扫描失败怎么办? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。
查看二进制成分分析扫描详情 该任务指导用户通过开源治理服务查看二进制成分分析扫描结果。 前提条件 已获取管理控制台的登录账号与密码。 已执行扫描任务。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可
成分分析的资源包为什么购买失败了? 可能是因为权限不足导致购买失败,请检查用户权限。 用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买开源治理服务。 如果没有购买开源治理服务的权限,请联系拥有Tenant Administrator权限的用户开通权限。
成分分析的安全编译选项类问题如何分析? 成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。
