检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
定向泄露、TLS配置缺陷、网页木马等,如检测结果中包含一个高危漏洞,则扫描结果为不通过,请整改后再发布上架。 漏洞扫描服务支持扫描的漏洞请参见:漏洞扫描服务支持扫描哪些漏洞? 漏洞扫描服务的扫描IP请参见:漏洞扫描服务的扫描IP有哪些? 父主题: 发布SaaS类商品相关指南
ame”。 安全漏洞扫描 商品发布时,下拉框选择网站漏洞扫描结果为空,或安全漏洞扫描结果时未通过;请在“卖家中心>应用工具>安全漏洞扫描“,请重新完成安全漏洞扫描,关联的安全漏洞扫描结果需为通过。 安全漏洞扫描操作指导及安全规范可参考《SaaS类商品安全漏洞扫描操作指导及安全规范》。
SaaS类商品安全漏洞扫描操作指导及安全规范 安全漏洞扫描操作指导 发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。请您先对应用完成安全漏洞扫描自测试,具体操作流程如下。 操作步骤 进入卖家中心页面。
接入指南V2.0》; 3、调试生产接口成功并保存用例,可参考《SaaS商品应用接入调试及调试用例管理》; 4、完成安全漏洞扫描,可参考《SaaS类商品安全漏洞扫描操作指导及安全规范》; 5、进入卖家中心商品发布页面,选择接入类型为“SaaS”; 6、填写商品信息,可参考《SaaS商品发布信息填写说明》;
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
开发自动部署模板 自动部署模板基于Terraform进行开发。Terraform是一个开源的自动化资源编排工具,使用Terraform管理云资源的流程如下图所示。在运行本示例之前,您需要先参考Terraform的快速入门完成Terraform的安装、配置,使用Terraform完
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
2、提交镜像后等待安全人员进行人工测试和审核。 1、商家需要执行病毒扫描、HSS基线规则扫描、二进制扫描、WEB漏洞扫描。 2、提供手工测试用例的结果。 1、镜像文件在资产中心提交,自动化扫描+安全自检。 2、工具测试内容:病毒、漏洞(业界定义的高危),预置账号、弱密码规则等。 3、联营认证的海顿测试中,无需再执行安全测试。
发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。商家需按照云商店商品安全审核标准3.0自检SaaS网站并且完成通过安全漏洞扫描。 发布SaaS类商品前,您需要进行接口开发,以供华为云云商店调用。具体接入操作请参考: 手册指导:SaaS类商品接入指南
自检确保镜像无安全漏洞。 为确保后续安全扫描正常进行,商家需为镜像开启远程登陆服务: 如果是linux,请修改ssh服务配置文件,将sudo vi /etc/ssh/sshd_config中的PermitRootLogin参数值调整为yes(华为提供的linux公共镜像已默认开启无需配置)。
商家面向华为云开票 商家收到开票通知后,需要开具相应账单的增值税专用发票,并发送电子发票至指定的邮箱或邮寄纸质发票到指定接收地址。 背景说明 对于云商店联营、严选、严选自营和华为商品,以及2018年11月1号前生成的云商店通用商品订单和账单,如客户申请开票,由华为云给客户开票。华
镜像安全扫描标准 商家应对镜像中出现的安全漏洞及其造成的后果负责,具体标准如下: 安全属性 标准说明 病毒扫描 镜像不能包含病毒、木马、恶意程序。 主机漏洞扫描 镜像文件不能包含CVSS评分≥7.0的高风险级别的漏洞。 操作系统的预置账号和密码,预置密钥扫描 镜像文件的操作系统禁
商家需按照镜像资产安全检测标准自检确保镜像无安全漏洞。 为确保后续安全扫描正常进行,商家需为镜像开启远程登陆服务: 如果是linux,请修改ssh服务配置文件,将sudo vi /etc/ssh/sshd_config中的PermitRootLogin参数值调整为yes(华为提供的linux公共镜像已默认开启无需配置)。
敏感信息加密算法 如请求消息中需传递隐私字段,请根据实际情况选择敏感信息加密算法。 安全漏洞扫描 如所发布的商品涉及安全漏洞扫描,则选择所关联的安全漏洞扫描结果;如商品不涉及安全漏洞扫描,则在“异常原因反馈”处填写反馈描述。 需求模板(如选择涉及服务监管) 由服务商制作,在服务
敏感信息加密算法 如请求消息中需传递隐私字段,请根据实际情况选择敏感信息加密算法。 安全漏洞扫描 如所发布的商品涉及安全漏洞扫描,则选择所关联的安全漏洞扫描结果;如商品不涉及安全漏洞扫描,则在“异常原因反馈”处填写反馈描述。 需求模板(如选择涉及服务监管) 用户购买服务后,需先
申请入驻云商店,成为商家。 云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口。 在卖家中心完成安全漏洞扫描。 在卖家中心申请发布SaaS商品。 云商店运营人员审批通过后产品发布成功。 在卖家中心自助管理生产接口通知消息。 2024年4月27日
云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口,参考接口调试。 在卖家中心完成安全漏洞扫描。 在卖家中心创建应用凭证,参考应用凭证申请。 在卖家中心申请测试账号。 SDK账密或WEB场景的界面登录。 验证登录成功。 加入联营计划,成为联营商家。
件包进行自动化安全扫描,扫描内容如下 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤 登录已成功入驻云商店的华为云帐号,进入卖家中心页面。 单击左侧导航栏的“商品管理>我的资产”,单击页面右上角的“新增资产”。
件包进行自动化安全扫描,扫描内容如下 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤 登录已成功入驻云商店的华为云帐号,单击云商店首页页眉导航处的“卖家中心”,进入卖家中心页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
