检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成分分析的任务扫描失败怎么办? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。
成分分析的资源包为什么购买失败了? 可能是因为权限不足导致购买失败,请检查用户权限。 用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买开源治理服务。如需开通该权限,请联系拥有Tenant Administrator权限的用户,开通权限,详细
String 文件分片ID 最小长度:1 最大长度:128 file_path 是 String 文件路径 最小长度:1 最大长度:128 file_name 是 String 文件名称 最小长度:1 最大长度:128 part_number 是 Integer 文件分段号 最小值:1
组件版本为什么没有被识别出来或识别错误? 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用的开源软件包
jar进行解压缩,查看其子目录BOOT-INF/classes/libWeWorkFinanceSdk_Java.so文件,进而分析该文件中开源软件是否存在或准确。 若文件有多个层级,则表示服务对父层级文件进行解析,进而分析子层级文件是否引用开源软件。对于方式一,多层级效果以换行缩进形式呈现,如下图所示;对于方式二或方式三,多层级路径以“:”连接展示。
创建上传分片文件任务 功能介绍 创建上传分片文件任务 URI POST /v1/{project_id}/sbc/task/multipart/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32
是否必选 参数类型 描述 file_path 是 String 文件路径 最小长度:1 最大长度:128 file_name 是 String 文件名称 最小长度:1 最大长度:128 upload_id 是 String 文件分片ID 最小长度:1 最大长度:128 响应参数 状态码:
扫描到恶意代码如何定位? 进入报告详情页面,打开恶意软件扫描结果,单击“文件名称”打开恶意代码详情,可以查看告警文件位置和扫描的恶意检测结果,可以通过关键日志定位具体告警位置。 父主题: 二进制成分分析类
HEX、RockChip、U-Boot等固件。 图1 添加任务 (可选)如果文件上传失败,显示“续传”按钮。 单击“续传”,文件从断点处进行续传。 单击“确定”,则重新开始上传文件,不再显示“续传”按钮。 显示“续传”按钮后,刷新页面则不再显示“续传”按钮,不可续传。 文件上传成功后,单击“确定”,开始扫描。 父主题:
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
在“源码成分分析”页面,单击“添加任务”,弹出“添加任务”对话框,可根据实际情况选择扫描文件或代码仓。 文件扫描 图1 添加文件扫描任务 参数 参数说明 任务名称 源码成分分析任务的名称。 扫描类型 待扫描的源码类型,包括文件和代码仓。 扫描对象 待扫描的源码文件。 任务描述 对当前源码成分分析任务的说明。 代码仓扫描
成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。 查看目标文件对应的安全编译选项结果。
成分分析的安全配置类问题如何分析? 成分分析的信息泄露问题如何分析? 组件版本为什么没有被识别出来或识别错误? 成分分析的资源包为什么购买失败了? 成分分析的开源漏洞文件路径如何查看? 成分分析的任务扫描失败怎么办? 扫描到恶意代码如何定位? 如何解决Roles with READONLY_USER或其他角色权限报错问题?
拥有已实名认证的华为账号。若没有,请先参考帮助手册注册账号并完成实名认证。 已购买开源治理服务。 已准备好需要扫描的软件包/固件。 约束与限制 支持检测 .zip、.rar、.tar、.tar.gz、.jar、.apk、.hap、.so、.gz、.gzip等10+种格式的文件。 文件名只能包含:中文、字母、数字、空格、下划线(_)、中划线
分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该
vaScript/Python/Rust/Swift/C#/PHP。 支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel
二进制成分分析任务的名称。 任务描述 自定义描述。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 创建人 此任务的创建者。 安全漏洞 成分分析扫描出的漏洞分布情况。
源码成分分析任务的名称。 扫描对象 被扫描的对象,包含文件和代码仓。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。
取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调
在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,单击“添加任务”,弹出“添加任务”对话框,单击“扫描对象”旁的文件框,选择本地的软件包,导入扫描对象。 文件上传成功后,单击“确定”,等待扫描任务完成。 单击任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表2所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
