开源治理服务 CODEARTS GOVERNANCE-成分分析的扫描原理是什么,主要识别哪些风险?

时间:2024-07-29 18:55:21

成分分析的扫描原理是什么,主要识别哪些风险?

对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:

  • 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
  • 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。
  • 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。
  • 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。
    图1 风险项
support.huaweicloud.com/devsecurity_faq/devsecurity_02_0015.html