检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
册注册账号并完成实名认证。 已购买开源治理服务。 已准备好需要扫描的软件包/固件。 支持检测 .zip、.rar、.tar、.tar.gz、.jar、.apk、.hap、.so、.gz、.gzip等10+种格式的文件。 文件名只能包含:中文、字母、数字、空格、下划线(_)、中划线
成分分析的主要扫描规格有哪些? 支持的编程语言类型:C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP。 支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android
计费说明 开源治理服务(CodeArts Governance)包含多个安全检测原子服务,支持单独购买,按需模式进行计费。 开源治理服务二进制成分分析定价包含以下两种套餐,详细内容请参见表1。 表1 版本说明 套餐 主要功能 规格 量纲 目录价 二进制成分分析1次按需套餐包 针对
可用区(AZ,Availability Zone) 一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置
上传分片文件 功能介绍 上传分片文件 URI POST /v1/{project_id}/sbc/task/multipart 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32 请求参数
URI-scheme 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从终端节点中获取。 例如,IAM服务在华北-北京四区域的Endpoint为iam.cn-north-4
创建上传分片文件任务 功能介绍 创建上传分片文件任务 URI POST /v1/{project_id}/sbc/task/multipart/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32
结束上传分片文件任务 功能介绍 结束上传分片文件任务 URI POST /v1/{project_id}/sbc/task/multipart/notify 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32
Exposures) 又称通用漏洞披露、常见漏洞与披露,是一个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统,是一个行业公开标准,其被设计用来评测漏洞的严重程度,
任务管理 语言类型 支持C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP等语言开源软件已知漏洞检测。 扫描包格式 支持上传的文件格式有.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、
终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,开源治理服务的终端节点如表1所示,请您根据业务需要选择对应区域的终端节点。 表1 开源治理服务的终端节点 区域名称 区域 终端节点(Endpoint) 协议类型 华北-北京四 cn-north-4 devsecurity.cn-north-4.myhuaweicloud
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可以在结果概览
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Tok
件漏洞和许可证合规、敏感信息(弱口令、硬编码密码等)、安全配置、安全编译选项等存在的潜在风险。 支持各类应用 支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。
任务管理 语言类型 支持C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP等语言开源软件已知漏洞检测。 扫描包格式 支持上传的文件格式有.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、
象。 图1 添加任务 支持上传.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。
如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。 图1 风险项 父主题: 二进制成分分析类
错误码 调用接口出错后,将不会返回结果数据。调用方可根据每个接口对应的错误码来定位错误原因。 当调用出错时,HTTP请求返回一个4xx或5xx的HTTP状态码。返回的消息体中是具体的错误代码及错误信息。 在调用方找不到错误原因时,可以联系华为云客服,并提供错误码,以便我们尽快帮您解决问题。
jar进行解压缩,查看其子目录BOOT-INF/classes/libWeWorkFinanceSdk_Java.so文件,进而分析该文件中开源软件是否存在或准确。 若文件有多个层级,则表示服务对父层级文件进行解析,进而分析子层级文件是否引用开源软件。对于方式一,多层级效果以换行缩进形式呈现,如下图所示;对于方式二或方式三,多层级路径以“:”连接展示。
只需要上传产品发布包或固件,无需构建运行环境或运行程序。 多语言、多文件格式、多架构平台 支持多语言,多构建场景下的制品检测,场景覆盖不遗漏。 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现。 敏感信息检测防泄露 支持安全配置和密码密钥等敏感信息检测,发现潜在的安全风险。 开源知识库
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
