检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
列出漏洞信息对外接口 功能介绍 列出漏洞信息对外接口信息 URI POST /v1/{project_id}/sbc/vuln/info/list 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32
获取密钥和信息泄露统计数据 功能介绍 根据任务ID获取密钥和信息泄露的统计数据 URI GET /v1/{project_id}/sbc/task/summary/infoleak 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。 问题类型:IP泄露/硬编码密码/Git地址泄露等。 文件路径:发现信息泄露的文件在包中的全路径。
添加二进制成分分析任务 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。
务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 您可以使用本文档提供的API对开源治理服务进行相关操作,如:新建上传分片文件任务、文
务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 本文以创建二进制成分分析任务为例,介绍如何创建二进制成分分析任务并查看扫描报告,供用户快速体验开源治理服务的基本功能。
提供对产品二进制包的快速逆向分析,如:开源软件已知漏洞、密钥和信息泄露、安全编译选项、安全配置检测,并提供汇总的分析报告,了解更多。 专家咨询服务 研发安全SDL培训 SDL(Security Development Lifecycle,安全开发生命周期)是为了应对愈发严峻的网络安全挑战而建立、发展的一系列方法论
显示目标任务的基本信息,包括:文件名、文件大小、特征库版本、平台版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示
洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。
显示目标任务的基本信息,包括:文件名、文件大小、特征库版本、平台版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示
用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
查询审计日志 云审计服务是安全解决方案中专业的日志审计服务,记录了CodeArts Governance的相关操作事件,方便您日后的查询、审计和回溯。 支持审计日志的操作 表1 云审计服务支持CodeArts Governance操作列表 操作名称 资源类型 事件名称 创建二进制成分分析任务
查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图2 查看结果概览信息 组件列表 查看软件的所有组件信息。 图3 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图4 查看漏洞列表信息 密钥和信息泄露问题列表 图5 查看密钥和信息泄露问题 安全编译选项问题列表
CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露,是一个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System)
获取密钥和信息泄露统计数据 获取安全编译选项统计数据 获取安全配置统计数据 创建报告PDF 查看报告PDF状态 下载报告PDF 创建报告Excel 查看报告Excel状态 下载报告Excel 获取组件漏洞映射表 获取漏洞信息对外接口 列出漏洞信息对外接口 列出漏洞信息对外接口 获取用户信息
开源知识库 提供已治理的开源软件数据资产信息,包含元数据信息、漏洞信息、依赖信息等内容。 支持区域:华北-北京四 开源知识库 开源许可证 可以查看开源许可证的信息和自定义开源许可证的风险等级。 支持区域:华北-北京四 开源许可证 查询审计日志 云审计服务是安全解决方案中专业的日志审计服务,记录了CodeArts
显示目标任务的基本信息,包括:任务名称、扫描类型、文件大小、特征库版本、任务描述等基本信息。 显示目标任务的组件检测、安全漏洞、开源许可证检测概况,包括: 组件检测:展示被扫描的软件包中所有的组件数量,有漏洞和无漏洞组件的数量。 安全漏洞:展示超危、高危、中危、低危各个级别安全漏洞的数量。
开源软件漏洞:用户制品文件中包含的开源软件清单以及相关开源软件版本对应的漏洞信息,用户需要分析是否存在风险以及通过打补丁或升级软件方式进行风险处理。 密钥和信息泄露:用户制品文件中包含的疑似敏感信息,如弱口令、硬编码密钥、IP等信息,用户需要结合上下文信息分析是否存在风险。 安全编译选项:用户制品文件中编译型语言(如
询。 云审计服务 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过CTS,您可以记录与CodeArts
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
