正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Vulnerability Database国家安全漏洞库。 CNVD China National Vulnerability Database国家信息安全漏洞共享平台。 CNNVD China National Vulnerability Database of Information
组件版本为什么没有被识别出来或识别错误? 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用
组件版本为什么没有被识别出来或识别错误?(旧链接,即将下线) 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用
获取组件漏洞映射表 功能介绍 获取组件漏洞映射表信息 URI GET /v1/{project_id}/sbc/vuln/map/list 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32
展示最近一次扫描详细情况,如所示,参数说明如所示。 图2 最近一次二进制成分分析扫描 表1 二进制成分分析扫描参数说明 参数 说明 扫描对象 被扫描的软件包/固件,单击可进入本次任务的扫描详情。 文件大小 被扫描的文件的大小。 开始时间 开始扫描的时间。 扫描耗时 扫描耗费的时长。 任务状态 任务扫描状态,包括:排队中、分析中、完成、失败。
到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。 检查结果说明: 审视项:检查的方式/方法。 问题:存在问题的文件列表,若无问题则显示暂无问题。
每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。 问题类型:IP泄露/硬编码密码/Git地址泄露等。 文件路径:发现信息泄露的文件在包中的全路径。 上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。
Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。
Administrator或VSS Administrator权限,及如何对用户组进行授权? 登录华为云,在右上角单击“控制台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择“用户组”,单击用户组名称即可查看角色授权记录。 切换至“用户管理”页签,可以查看该用户组下的所有用户,也可以将其他用户添加至该用户组。
请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求消息头,响应同样也有消息头,如“Content-type”。
Security", "error_code": "DevSecurity.01000000" } 其中,error_code表示错误码,error_msg表示错误描述信息。 错误码说明 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。
xcel报告”,可生成更详细的扫描报告供下载查看。 扫描报告主要内容如下:结果概览、组件列表信息、漏洞列表信息、信息泄露问题列表、安全编译选项问题列表、安全配置检查列表、恶意软件扫描问题列表。
Administrator或VSS Administrator权限的账号登录华为云,在右上角单击“控制台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择待授权的用户,单击“授权”。 进入“选择授权方式”步骤,选择“继承所选用户组的策略”,然后勾选具有Tenant
Governance)包含多个安全检测原子服务,支持单独购买,按需模式进行计费。 开源治理服务二进制成分分析定价包含以下两种套餐,详细内容请参见表1。 表1 版本说明 套餐 主要功能 规格 量纲 目录价 二进制成分分析1次按需套餐包 针对Linux软件包、安卓部署包、鸿蒙部署包、Windows安装包、IoT固件包的安全检测。
终端节点 终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,开源治理服务的终端节点如表1所示,请您根据业务需要选择对应区域的终端节点。 表1 开源治理服务的终端节点 区域名称 区域 终端节点(Endpoint) 协议类型 华北-北京四 cn-north-4 devsecurity
查看任务 登录开源治理服务控制台。 在左侧导航栏,单击“二进制成分分析”。 在“二进制成分分析”页面,查看成分分析任务列表,相关参数说明如表1所示。 表1 成分分析任务列表参数说明 参数 参数说明 任务名称 二进制成分分析任务的名称。 任务描述 自定义描述。 任务状态 “等待中” 导入扫描对象后开始等待扫描。
CodeArts Governance的相关操作事件,方便您日后的查询、审计和回溯。 支持审计日志的操作 表1 云审计服务支持CodeArts Governance操作列表 操作名称 资源类型 事件名称 创建移动应用安全任务 task createSecappTask 删除移动应用安全任务
在调用接口的时候,部分URL中需要填入账号ID,所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,在下拉列表中单击“我的凭证”。 进入“我的凭证 > API凭证”页面,即可查看账号ID。 父主题: 附录
在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括:文件名、文件大小、特征库版本、平台版本等基本信息。 显示目标任务的组件检
该开源软件或组件的主要编码语言。 描述说明 该开源软件或组件的描述。 单击软件或组件名称,进入版本列表,显示所选择的软件或组件的所有版本信息,相关参数说明如表2所示。 图2 所有版本信息列表 表2 版本信息参数说明 参数 参数说明 版本 该开源软件或组件的版本号。 漏洞数 该版本下的具体