检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
作。 请求方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的
20次:包含20次单文件扫描。 1次:包含1次单文件扫描。 假设您计划购买开源治理服务二进制成分分析按需套餐包,在购买页面底部,您将看到所需的配置费用。 图1 二进制成分分析按需套餐包配置费用示例 注意事项: 购买多个配额包,只叠加次数,不叠加购买时长,配额包按照到期时间排序,优先使用先到期的配额包。 配
未购买套餐包的用户添加任务时会提示扣费;已购买套餐包的用户可以直接创建任务,无需单次扣费。 信息配置完成后,单击“确定”,等待扫描任务完成,扫描时长与软件包大小、代码量直接相关。 若任务状态显示为“已失败”,请参考成分分析的任务扫描失败怎么办。 查看扫描结果 扫描任务执行后,可在二进制成分分析页面的任务列表查看当前任务状态。
源将被自动删除。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 在开源治理服务到期前均可开通自动续费,到期前7日凌晨3:00首次尝试自动续费,如果扣款失败,每天凌晨3:00尝试一次,直至开源治理服务到期或者续费成功。到期前7日自动续费扣款是系统默认配置,您也可以根据需要修改此扣款日。
假设您计划购买开源治理服务二进制成分分析专业版,扫描配额包选择1个,购买时长1个月,在购买页面底部,您将看到所需的配置费用。 图1 二进制成分分析包年/包月配置费用示例 表2 源码成分分析包年/包月适用计费项 计费项 计费项说明 扫描最大并发数 按购买的个数计费。 购买时长 支持购买1~9个月或者1~3年。
当调用出错时,HTTP请求返回一个4xx或5xx的HTTP状态码。返回的消息体中是具体的错误代码及错误信息。 在调用方找不到错误原因时,可以联系华为云客服,并提供错误码,以便我们尽快帮您解决问题。 错误响应Body体格式说明 当接口调用出错时,会返回错误码及错误信息说明,错误响应的Body体格式如下所示。
如何查看用户组是否具有Tenant Administrator或VSS Administrator权限,及如何对用户组进行授权? 登录华为云,在右上角单击“控制台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择“用户组”,单击用户组名称即可查看角色授权记录。
用户组进行授权?查看具有权限的用户。 使用具有Tenant Administrator或VSS Administrator权限的账号登录华为云,在右上角单击“控制台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择待授权的用户,单击“授权”。 进入“选择授权
获取安全配置统计数据 功能介绍 根据任务ID获取安全配置的统计数据 URI GET /v1/{project_id}/sbc/task/summary/secconfig 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 父主题: 二进制成分分析类
组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、
安全编译选项检查项参考说明 检查项 检查项描述 安全编译选项参数 BIND_NOW 立即绑定 -Wl、-z、now NX 堆栈不可执行 -WI、-z、noexecstack PIC 地址无关 -fPIC PIE 随机化 -fPIE或-pie RELRO GOT表保护 -WI、-z、relro SP 栈保护
添加二进制成分分析任务 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。
显示目标任务的组件检测、安全漏洞、安全配置、开源许可证、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。
支持多语言,多构建场景下的制品检测,场景覆盖不遗漏。 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现。 敏感信息检测防泄露 支持安全配置和密码密钥等敏感信息检测,发现潜在的安全风险。 源码成分分析 代码克隆检测 提供代码片段级别的代码克隆(TYPE1、TYPE2)检测分析服务,发现潜在的开源软件使用合规风险。
查看漏洞列表信息 密钥和信息泄露问题列表 图7 查看密钥和信息泄露问题 安全编译选项问题列表 图8 查看安全编译选项问题列表 安全配置检查列表 图9 查看安全配置检查列表 恶意软件扫描问题列表 图10 查看恶意软件扫描问题 父主题: 二进制成分分析
是Android操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。 CVE(Common Vulnerabilities
开源知识库 开源许可证 查询审计日志 二进制成分分析 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 支持区域: 华北-北京四 添加二进制成分分析任务 管理二进制成分分析任务 查看二进制成分分析扫描详情 下载二进制成分分析扫描报告
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
