-
成分分析的信息泄露问题如何分析? - 开源治理服务 CodeArts Governance
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可
-
审计 - 开源治理服务 CodeArts Governance
审计 支持云审计的关键操作 如何查看审计日志
-
使用前必读 - 开源治理服务 CodeArts Governance
使用前必读 概述 调用说明 终端节点 约束与限制 基本概念
-
如何调用API - 开源治理服务 CodeArts Governance
如何调用API 构造请求 认证鉴权 返回结果
-
成分分析的扫描对象是什么? - 开源治理服务 CodeArts Governance
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 父主题: 二进制成分分析类
-
成分分析的安全编译选项类问题如何分析? - 开源治理服务 CodeArts Governance
件满足安全编译选项要求,无需处理。 对于不满足要求的项,排查目标文件的构建脚本,添加对应的编译选项,其中Ftrapv和FS两项由于可能影响性能,请根据实际情况确认是否添加对应选项。 表1 安全编译选项检查项参考说明 检查项 检查项描述 安全编译选项参数 BIND_NOW 立即绑定
-
成分分析的主要扫描规格有哪些? - 开源治理服务 CodeArts Governance
成分分析的主要扫描规格有哪些? 支持的编程语言类型:C/C++/Java/Go/JavaScript/Python。 支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android
-
成分分析的扫描原理是什么,主要识别哪些风险? - 开源治理服务 CodeArts Governance
开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项:支持检
-
成分分析的任务扫描失败怎么办? - 开源治理服务 CodeArts Governance
任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。 文件上传中损坏 文件在传送过程中损坏,导致无法正确解析。重新创建扫描任务进行扫描即可。
-
组件版本为什么没有被识别出来或识别错误? - 开源治理服务 CodeArts Governance
组件版本为什么没有被识别出来或识别错误? 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使
-
状态码 - 开源治理服务 CodeArts Governance
状态码 正常 返回值 说明 200 请求成功。 异常 状态码 编码 错误码说明 400 Bad Request 服务器不能或不会处理该请求。 401 Unauthorized 当前请求需要用户验证。 403 Forbidden 服务器拒绝执行该请求。 404 Not Found 服务器无法找到被请求的资源。
-
返回结果 - 开源治理服务 CodeArts Governance
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求
-
约束与限制 - 开源治理服务 CodeArts Governance
约束与限制 详细的限制请参见具体API的说明。 父主题: 使用前必读
-
认证鉴权 - 开源治理服务 CodeArts Governance
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证通用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 Token认证 Token的有效期为24小时,需
-
支持云审计的关键操作 - 开源治理服务 CodeArts Governance
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与云服务器相关的操作事件,便于日后的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的云服务器操作列表 操作名称 资源类型 事件名称 创建移动应用安全任务
-
【变更公告】华为云开源治理服务CodeArts Governance移动应用安全特性变更通知 - 开源治理服务 CodeArts Governance
华为云漏洞管理服务CodeArts Inspector已提供相应特性,特性能力一致,您可在CodeArts Inspector服务中购买使用。 如您有任何问题,可随时通过工单或者服务热线(4000-955-988或950808)与我们联系。 常见问题 下线后是否有替换功能? 您可以在漏洞管理服务CodeArts
-
相关术语说明 - 开源治理服务 CodeArts Governance
相关术语说明 开源(open source) 即开放一类技术或一种产品的源代码,源数据,源资产,可以是各行业的技术或产品,其范畴涵盖文化、产业、法律、技术等多个社会维度。 开源软件(open source software) 允许用户直接访问源代码,通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。
-
成分分析的安全配置类问题如何分析? - 开源治理服务 CodeArts Governance
果。 检查结果说明: 审视项:检查的方式/方法。 问题:存在问题的文件列表,若无问题则显示暂无问题。 建议值:针对检查出的问题给出的修改建议。 描述:审视项描述。 父主题: 二进制成分分析类
-
如何解决Roles with READONLY - 开源治理服务 CodeArts Governance
如何解决Roles with READONLY_USER或其他角色权限报错问题? 用户需要具有Tenant Administrator或VSS Administrator权限才能使用二进制成分分析相关业务,请分别联系具有Tenant Administrator或VSS Admin
-
二进制成分分析类 - 开源治理服务 CodeArts Governance
成分分析的扫描原理是什么,主要识别哪些风险? 成分分析的开源软件风险如何分析? 成分分析的安全编译选项类问题如何分析? 成分分析的安全配置类问题如何分析? 成分分析的信息泄露问题如何分析? 组件版本为什么没有被识别出来或识别错误? 成分分析的资源包为什么购买失败了? 成分分析的开源漏洞文件路径如何查看?