漏洞管理服务 CODEARTS INSPECTOR-成分分析的扫描原理是什么,主要识别哪些风险?

时间:2024-11-19 11:47:56

成分分析的扫描原理是什么,主要识别哪些风险?

对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:

  • 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
  • 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。
  • 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。
  • 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。

    图1 风险项
support.huaweicloud.com/vss_faq/vss_01_0083_03.html