检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
自动续费 自动续费可以减少手动续费的管理成本,避免因忘记手动续费而导致开源治理服务无法使用。自动续费的规则如下所述: 以开源治理服务的到期日计算第一次自动续费日期和计费周期。 开源治理服务自动续费周期以您选择的续费时长为准。例如,您选择了3个月,开源治理服务即在每次到期前自动续费3个月。
的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 商用 产品介绍
支持安全配置和密码密钥等敏感信息检测,发现潜在的安全风险。 源码成分分析 代码克隆检测 提供代码片段级别的代码克隆(TYPE1、TYPE2)检测分析服务,发现潜在的开源软件使用合规风险。 漏洞风险检测 提供已知漏洞安全检测分析服务,发现潜在的开源软件安全风险。 许可证合规检测 提供开源软件许可证风险等级评估体系,
接口。 X-Project-ID 子项目ID 否 在多项目场景中使用 X-Domain-ID 账号ID - - 公有云API同时支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。
扫描耗时 扫描耗费的时长。 任务状态 任务扫描状态,包括:等待中、进行中、已完成、已停止、已失败。 检测结果风险统计 显示各检查项的检测项目风险文件总数。 安全漏洞风险项 显示不同风险等级的漏洞个数,风险等级包括:超危、高危、中危、低危。 检测项目合规统计 显示检测项目的合规占比(合规项/总检查项)。
对于获取用户Token接口,返回如图1所示的消息头,其中“x-subject-token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 图1 获取用户Token响应消息头 响应消息体 响应消息体通常以结构化格式返回,与响应消息头中Conten
1在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确
application package) 是Android操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。 CVE(Common
源码成分分析任务的名称。 扫描对象 被扫描的对象,包含文件和代码仓。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。
组件检测:展示被扫描的软件包中所有的组件数量,有漏洞和无漏洞组件的数量。 安全漏洞:展示超危、高危、中危、低危各个级别安全漏洞的数量。 开源许可证:展示高风险、中风险、低风险各个级别开源许可证的统计信息。 软件详情 显示扫描任务中每个组件的组件名称、组件版本、开源许可证、包含文件数以及存在漏洞数。 组件名称和文件数可按升降序查看。
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄
功能总览 功能总览 全部 二进制成分分析 源码成分分析 开源知识库 开源许可证 查询审计日志 二进制成分分析 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 支持区域: 华北-北京四 添加二进制成分分析任务
参数说明 任务名称 二进制成分分析任务的名称。 任务描述 自定义描述。 任务状态 “等待中” 导入扫描对象后开始等待扫描。 “进行中” 任务正在进行扫描。 “已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 创建人 此任务的创建者。 安全漏洞
提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。 恶意代码检查 提供病毒木马等恶意软件的扫描,支持开源软件中敏感信息外发、木马下载执行、反弹shell、恶意命令执行恶意行为检测。 源码成分分析 全方位风险检测 对软件源码进行全面分析,基于源码特征识
开源软件漏洞 显示扫描任务中每个组件的组件名称、组件版本、开源许可证、包含文件数以及存在漏洞数。 组件名称、组件版本和文件数可按升降序查看。 可按组件名称、开源许可证对组件列表进行筛选查看。 开源许可证 显示开源软件的许可证检测结果,包括许可证使用的集成风险和许可证间的兼容性风险。
状态码 正常 返回值 说明 200 请求成功。 异常 状态码 编码 错误码说明 400 Bad Request 服务器不能或不会处理该请求。 401 Unauthorized 当前请求需要用户验证。 403 Forbidden 服务器拒绝执行该请求。 404 Not Found 服务器无法找到被请求的资源。
文档修订记录 文档修订记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。 修订记录 发布日期 第六次正式发布,本次变更说明如下: 错误码更新。 2024-03-13 第五次正式发布,本次变更说明如下: 下线移动应用安全接口。 上线二进制成分分析接口。 2024-03-12
查询审计日志 云审计服务是安全解决方案中专业的日志审计服务,记录了CodeArts Governance的相关操作事件,方便您日后的查询、审计和回溯。 支持审计日志的操作 表1 云审计服务支持CodeArts Governance操作列表 操作名称 资源类型 事件名称 创建二进制成分分析任务
计费项 计费说明 开源治理服务提供按需套餐包模式和包年/包月模式,按需套餐包模式计费项信息请参考表1;按包年/包月模式计费项信息请参考表2。 表1 按需套餐包模式计费项信息 计费项 计费项说明 适用的计费模式 计费公式 按需套餐包单价 包含两种规格: 1次按需套餐包 20次按需套餐包
在左侧导航栏,单击“开源知识库”。 单击“开源知识库”页面搜索框左侧,在下拉框中选择“软件”或“组件”,在搜索框中输入对应名称,支持模糊搜索,单击“查询”,显示查询到的所有软件或组件信息,页面右侧显示当前库中软件和组件的统计图表,相关参数说明如表1所示。 图1 开源知识库总览 表1 汇总信息参数说明
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
