检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取密钥和信息泄露统计数据 功能介绍 根据任务ID获取密钥和信息泄露的统计数据 URI GET /v1/{project_id}/sbc/task/summary/infoleak 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
扫描报告主要包括:任务概况、开源软件漏洞、开源许可证、密钥和信息泄露、安全编译选项、安全配置、恶意软件扫描。 图2 扫描报告 在扫描报告页面,单击右上角的“生成PDF报告”或“生成Excel报告”,可以生成更详细的扫描报告。
安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。
二进制成分分析 创建上传分片文件任务 上传分片文件 结束上传分片文件任务 创建二进制成分分析扫描任务 获取任务状态 停止任务 删除任务 获取开源漏洞分析报告 获取开源漏洞分析统计数据 获取密钥和信息泄露统计数据 获取安全编译选项统计数据 获取安全配置统计数据 创建报告PDF 查看报告
方式三:打开报告详情页面,单击“下载报告”,“生成Excel报告”,待文件生成后单击“导出Excel”下载报告至本地,查阅Excel报告中“组件报告”或“漏洞报告”sheet页,即可查看相应组件文件路径。
扫描类型 待扫描的源码类型,包括文件和代码仓。 扫描对象 待扫描的代码仓地址,当前只支持SSH地址。 标识类型 选择待扫描的标识类型,包括代码仓分支和代码仓tag。 标识名称 待扫描的分支或tag的名称。 任务描述 对当前源码成分分析任务的说明。 单击“确定”,开始扫描。
图6 查看漏洞列表信息 密钥和信息泄露问题列表 图7 查看密钥和信息泄露问题 安全编译选项问题列表 图8 查看安全编译选项问题列表 安全配置检查列表 图9 查看安全配置检查列表 恶意软件扫描问题列表 图10 查看恶意软件扫描问题 父主题: 二进制成分分析
许可证信息:二进制文件包许可证检测结果,包含许可证名称、集成风险、涉及组件和许可证描述和风险分析。 许可证兼容性:二进制文件包中各目录的许可证间兼容性风险检测。 密钥和信息泄露 显示Git地址、IP、硬编码密码、弱口令、硬编码密钥和SVN地址的检测结果。
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。
创建上传分片文件任务 功能介绍 创建上传分片文件任务 URI POST /v1/{project_id}/sbc/task/multipart/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:
许可证信息:二进制文件包许可证检测结果,包含许可证名称、集成风险、涉及组件和许可证描述和风险分析。 许可证兼容性:二进制文件包中各目录的许可证间兼容性风险检测。 密钥和信息泄露 显示Git地址、IP、硬编码密码、弱口令、硬编码密钥和SVN地址的检测结果。
AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
128 file_path 是 String 文件路径 最小长度:1 最大长度:128 file_name 是 String 文件名称 最小长度:1 最大长度:128 part_number 是 Integer 文件分段号 最小值:1 最大值:10000 part_size 是
此外,API Explorer会自动生成相应API调用示例,帮助您使用API。 父主题: 使用前必读
支持审计日志的操作 表1 云审计服务支持CodeArts Governance操作列表 操作名称 资源类型 事件名称 创建二进制成分分析任务 task createScaTask 删除二进制成分分析任务 task deleteScaTask 生成二进制成分分析报告 task exportPdfScaTask
data object 响应内容 表5 data 参数 参数类型 描述 file_path String 文件路径 最小长度:1 最大长度:128 file_name String 文件名称 最小长度:1 最大长度:128 upload_id String 文件分片ID 最小长度:
二进制成分分析 提供对产品二进制包的快速逆向分析,如:开源软件已知漏洞、密钥和信息泄露、安全编译选项、安全配置检测,并提供汇总的分析报告,了解更多。
用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。
多语言、多文件格式、多架构平台 支持多语言,多构建场景下的制品检测,场景覆盖不遗漏。 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现。 敏感信息检测防泄露 支持安全配置和密码密钥等敏感信息检测,发现潜在的安全风险。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
