检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取密钥和信息泄露统计数据 功能介绍 根据任务ID获取密钥和信息泄露的统计数据 URI GET /v1/{project_id}/sbc/task/summary/infoleak 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
获取开源漏洞分析统计数据 功能介绍 根据任务ID获取开源漏洞分析的统计数据 URI GET /v1/{project_id}/sbc/task/summary/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
创建二进制成分分析扫描任务 功能介绍 创建二进制成分分析扫描任务,需先将待扫描包上传至文件服务器临时上传地址中 URI POST /v1/{project_id}/sbc/task/start 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
源码成分分析 添加源码成分分析任务 管理源码成分分析任务 查看源码成分分析扫描详情
二进制成分分析类 成分分析的扫描对象是什么? 成分分析的主要扫描规格有哪些? 成分分析的扫描原理是什么,主要识别哪些风险? 成分分析的开源软件风险如何分析? 成分分析的安全编译选项类问题如何分析? 成分分析的安全配置类问题如何分析? 成分分析的信息泄露问题如何分析? 组件版本为什么没有被识别出来或识别错误?
二进制成分分析 添加二进制成分分析任务 管理二进制成分分析任务 查看二进制成分分析扫描详情 下载二进制成分分析扫描报告 相关术语说明
单击“对象路径”,可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 图1 开源软件漏洞检测结果 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图2 密钥和信息泄露检测结果 在“安全编译
二进制成分分析主要用于以下场景。 开源软件使用风险评估 二进制成分分析服务提供开放API,并与CI/CD融合,完善DevSecOps安全能力。 开源/第三方软件引入评估 二进制成分分析服务提供页面和开放API,提供风险快速评估能力。 源码成分分析 源码成分分析主要用于以下场景。 源代码级成分分析
Administrator权限才能使用二进制成分分析相关业务,请分别联系具有Tenant Administrator或VSS Administrator权限的用户进行授权,可参考如何查看用户组是否具有Tenant Administrator或VSS Administrator权限,及如何对用户组进行授权?查看具有权限的用户。
单击“对象路径”,可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图1 密钥和信息泄露检测结果 在“安全编译选项”页签查看编译选项对应检测项目的检测结果。
版本说明 套餐 主要功能 规格 量纲 目录价 二进制成分分析1次按需套餐包 针对Linux软件包、安卓部署包、鸿蒙部署包、Windows安装包、IoT固件包的安全检测。 支持开源组件漏洞分析和开源许可证分析能力。 支持敏感信息、安全配置、安全编译选项检查。 1次 个 3000元 二进制成分分析20次按需套餐包
deleteTask 查看审计日志 用户需要在云审计服务CTS的管理控制台查询CodeArts Governance服务的事件列表。详情请参考查看审计事件。
(以下截图中的数据仅供参考,请以实际扫描报告为准) 概览 查看目标软件包的扫描漏洞数。 图3 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图4 查看结果概览信息 组件列表 查看软件的所有组件信息。 图5 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。
本文以创建二进制成分分析任务为例,介绍如何创建二进制成分分析任务并查看扫描报告,供用户快速体验开源治理服务的基本功能。 前提条件 拥有已实名认证的华为账号。若没有,请先参考帮助手册注册账号并完成实名认证。 已购买开源治理服务。 已准备好需要扫描的软件包/固件。 支持检测 .zip、.rar、.tar、.tar
对于不满足要求的项,排查目标文件的构建脚本,添加对应的编译选项,其中Ftrapv和FS两项由于可能影响性能,请根据实际情况确认是否添加对应选项。 表1 安全编译选项检查项参考说明 检查项 检查项描述 安全编译选项参数 BIND_NOW 立即绑定 -Wl、-z、now NX 堆栈不可执行 -WI、-z、noexecstack
多个社会维度。 开源软件(open source software) 允许用户直接访问源代码,通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。 开源组件(open source component) 是开源软件系统中最小可识别且本身不再包含另外组件的、组件信息
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
