检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SaaS类商品安全漏洞扫描操作指导及安全规范 安全漏洞扫描操作指导 发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。请您先对应用完成安全漏洞扫描自测试,具体操作流程如下。 操作步骤 进入卖家中心页面。
ame”。 安全漏洞扫描 商品发布时,下拉框选择网站漏洞扫描结果为空,或安全漏洞扫描结果时未通过;请在“卖家中心>应用工具>安全漏洞扫描“,请重新完成安全漏洞扫描,关联的安全漏洞扫描结果需为通过。 安全漏洞扫描操作指导及安全规范可参考《SaaS类商品安全漏洞扫描操作指导及安全规范》。
Java代码示例(总) package com.huawei.cbc.cbcmarketplacecommentservice.ability.jsonutils; import java.io.UnsupportedEncodingException; import java
中不包含常见的web漏洞:如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等,如检测结果中包含一个高危漏洞,则扫描结果为不通过,请整改后再发布上架。 安全扫描支持扫描的漏洞请参见:安全扫描支持扫描哪些漏洞?
代码示例(Java) ISV Server验证所有的通知请求 ISV Server验证所有的post body通知请求 ISV Server对响应消息体进行签名 ISV Server对资源开通后的用户名和密码加密 ISV Server解密手机号和邮箱 Java代码示例(总) 父主题:
自动部署模板开发示例代码 自动部署模板的开发请参考《如何开发资源编排模板》。 父主题: 开发自动部署指南
开放接口示例代码 具体操作请参考《云商店开放接口示例工程》,路径如下: 父主题: 云商店开放接口指南
签名示例工程代码 签名示例工程代码请参考《AK/SK认证》。 父主题: 接口使用方法
签名示例工程代码 签名示例工程代码请参考《AK/SK认证》。 父主题: 接口使用方法
签名示例工程代码 签名示例工程代码请参考《AK/SK认证》。 父主题: 接口使用方法
ISV Server对资源开通后的用户名和密码加密 代码调用如下图所示。 /** * 对资源开通后,返回的用户名和密码进行加密 * @param key 秘钥 * @param str 原文 * @param encryptLength 加密长度 * @return 加密结果 */
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
2、提交镜像后等待安全人员进行人工测试和审核。 1、商家需要执行病毒扫描、HSS基线规则扫描、二进制扫描、WEB漏洞扫描。 2、提供手工测试用例的结果。 1、镜像文件在资产中心提交,自动化扫描+安全自检。 2、工具测试内容:病毒、漏洞(业界定义的高危),预置账号、弱密码规则等。 3、联营认证的海顿测试中,无需再执行安全测试。
在线开通License接口示例代码 基于spring boot构建的web工程,包含商家在云商店发布工业软件云联营License类商品时需要对接的生产接口示例代码。 具体操作请参考《在线开通License商品接入示例工程》。 父主题: 在线开通License接入指南
ISV Server解密手机号和邮箱 代码调用如下图所示。 /** * * 解密手机号码或邮箱 * @param key 秘钥 * @param str 密文 * @param encryptLength 加密长度 * @return 解密结果 */ public static String
ISV Server验证所有的通知请求 代码调用如下图所示。 /** * 校验通知消息的合法性 * @param request http请求通知消息 * @param accessKey 接入码 * @param encryptLength 加密长度 * @return 验证结果
ISV Server验证所有的post body通知请求 代码调用如下图所示。 /** * 校验通知消息的合法性 * @param RequestBody requestBody请求体 * @param request http请求通知消息 * @param accessKey 接入码
ISV Server对响应消息体进行签名 代码请参见ISV Server验证所有的通知请求中的generateResponseBodySignature方法。 父主题: 代码示例(Java)
请求签名流程 第三方应用对华为云API的访问需经过签名认证。 签名前的准备 下载API网关签名工具,请单击此处下载您需要不同语言的SDK和示例代码。 创建java工程,将解压出来的jar引用到依赖路径中。 签名过程 创建用于签名的请求com.cloud.sdk.DefaultRequest(JAVA)。
概述 工业软件SaaS服务中心可以将传统桌面工业软件工具快速搬迁至云上,实现工具软件的管理在云、数据在云和计算在云。ISV将工业软件改造后接入云商店,进行应用资产和联营商品发布上架,最终实现在工业软件SaaS服务中心使用。 概念介绍 ISCDesk ISCDesk(Industrial
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
