检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不涉及。 安全配置类检查问题分析指导: 导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。 检查结果说明:
选项,其中Ftrapv和FS两项由于可能影响性能,请根据实际情况确认是否添加对应选项。 表1 安全编译选项检查项参考说明 检查项 检查项描述 安全编译选项参数 BIND_NOW 立即绑定 -Wl、-z、now NX 堆栈不可执行 -WI、-z、noexecstack PIC 地址无关
获取安全配置统计数据 功能介绍 根据任务ID获取安全配置的统计数据 URI GET /v1/{project_id}/sbc/task/summary/secconfig 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
获取安全编译选项统计数据 功能介绍 根据任务ID获取安全编译选项统计数据 URI GET /v1/{project_id}/sbc/task/summary/seccompile 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。
【变更公告】华为云开源治理服务CodeArts Governance移动应用安全特性变更通知 变更公告 华为云计划于2024/03/12 22:00(北京时间)下线开源治理服务CodeArts Governance中的移动应用安全扫描特性。 变更范围 变更区域:中国站所有区域 变更影响 华为云
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 父主题: 二进制成分分析类
正式停售后,用户无法新购,已购买用户不受影响,可继续使用移动应用安全相关规格至套餐包到期。 停售后已购买移动应用安全相关规格的用户是否支持续费? 不支持续费。 停售后是否有替换功能? 您可以在漏洞管理服务CodeArts Inspector中购买使用移动应用安全特性。
务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 检测能力 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析,通过解压获取包
您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图6 查看漏洞列表信息 密钥和信息泄露问题列表 图7 查看密钥和信息泄露问题 安全编译选项问题列表 图8 查看安全编译选项问题列表 安全配置检查列表 图9 查看安全配置检查列表 恶意软件扫描问题列表 图10 查看恶意软件扫描问题 父主题: 二进制成分分析
对软件包/固件进行全面分析,基于各类检测规则,检测相关被测对象的开源软件漏洞和许可证合规、敏感信息(弱口令、硬编码密码等)、安全配置、安全编译选项等存在的潜在风险。 支持各类应用 支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。 专业分析指导
添加二进制成分分析任务 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。
务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 本文以创建二进制成分分析任务为例,介绍如何创建二进制成分分析任务并查看扫描报告,供用户快速体验开源治理服务的基本功能。
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。
务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 您可以使用本文档提供的API对开源治理服务进行相关操作,如:新建上传分片文件任务、文
与其他服务的关系 与代码检查服务的关系 开源治理服务中的代码检查功能由独立的代码检查(CodeArts Check)云服务提供,用户可以通过超链接跳转至代码检查的页面进行使用。当前代码检查是CodeArts云服务下的子服务,用户需开通CodeArts服务方可使用。 与漏洞管理服务的关系
支持多语言,多构建场景下的制品检测,场景覆盖不遗漏。 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现。 敏感信息检测防泄露 支持安全配置和密码密钥等敏感信息检测,发现潜在的安全风险。 源码成分分析 代码克隆检测 提供代码片段级别的代码克隆(TYPE1、
CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露,是一个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通
提供对产品二进制包的快速逆向分析,如:开源软件已知漏洞、密钥和信息泄露、安全编译选项、安全配置检测,并提供汇总的分析报告,了解更多。 专家咨询服务 研发安全SDL培训 SDL(Security Development Lifecycle,安全开发生命周期)是为了应对愈发严峻的网络安全挑战而建立、发展的一系列方法论与最
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
