检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看报告PDF状态 功能介绍 根据任务ID查看报告PDF状态 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/report/pdf/status 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用
获取漏洞信息对外接口 功能介绍 获取漏洞信息对外接口 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/vuln/info 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户项目ID,获取方式请参见获取项目ID。
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件。 成分分析的扫描对象包含Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等。 成分分析扫描不支持扫描源码类文件。 父主题: 二进制成分分析类
获取开源漏洞分析报告 功能介绍 根据任务ID获取开源漏洞分析报告 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/task/report/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
步骤6:查看插件执行结果 步骤1:新建规则和策略 登录华为云官网,单击页面右上角“控制台”。 在页面左上角单击,打开服务列表。 搜索“流水线”。 单击“流水线 CodeArts Pipeline”,进入流水线服务首页。 单击右上角头像图标,在下拉菜单中选择“租户设置”,进入租户设置页面。 单击左侧导航“策略管理
成分分析的开源软件风险如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、许可证合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
支持上传的文件大小:不超过5GB。 平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。 父主题: 二进制成分分析类
获取安全编译选项统计数据 功能介绍 根据任务ID获取安全编译选项统计数据 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/task/summary/seccompile 表1 路径参数 参数 是否必选 参数类型 描述 project_id
提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 操作视频 本视频介绍二进制成分分析的操作。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。
登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。 单击待删除任务后操作列的“删除”。 根据系统提示执行删除操作。 停止任务 只有任务状态为进行中、等待中才可操作停止任务。 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析
"2.2", "name" : "硬编码SSH主机密钥", "desc" : "对于SSH服务器,应当保留唯一的主机密钥。SSH服务器首次初始化会生成该密钥,该密钥必须独一无二,以便确保加密的安全性。构建中主机密钥的存在表明,所有使用该固件镜像的设备都
文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。 文件上传中损坏 文件在传送过程中损坏,导致无法正确解析。重新创建扫描任务进行扫描即可。 其他原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系服务运维团队。 若用户使用“按
查看二进制成分分析扫描详情 该任务指导用户通过开源治理服务查看二进制成分分析扫描结果。 前提条件 已获取管理控制台的登录账号与密码。 已执行扫描任务。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、许可证合规等。
获取开源漏洞分析统计数据 功能介绍 根据任务ID获取开源漏洞分析统计数据 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/task/summary/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id
成分分析的安全编译选项类问题如何分析? 成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。
获取密钥和信息泄露统计数据 功能介绍 根据任务ID获取密钥和信息泄露统计数据 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/sbc/task/summary/infoleak 表1 路径参数 参数 是否必选 参数类型 描述 project_id
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可
可能是因为权限不足导致购买失败,请检查用户权限。 用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买开源治理服务。 如果没有购买开源治理服务的权限,请联系拥有Tenant Administrator权限的用户开通权限。 父主题: 二进制成分分析类
创建二进制成分分析扫描任务 功能介绍 创建二进制成分分析扫描任务,需先将待扫描包上传至文件服务器临时上传地址中 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/sbc/task/start 表1 路径参数 参数 是否必选 参数类型 描述 project_id
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
