检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
扫描到恶意代码如何定位? 进入报告详情页面,打开恶意软件扫描结果,单击“文件名称”打开恶意代码详情,可以查看告警文件位置和扫描的恶意检测结果,可以通过关键日志定位具体告警位置。 父主题: 二进制成分分析类
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
单击许可证的风险等级下拉框可以自定义对应许可证的风险等级。 单击许可证操作栏的“重置”可以恢复对应许可证的默认风险等级。 单击“全部重置”可以批量重置所有风险项
组件版本为什么没有被识别出来或识别错误? 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
什么是开源治理服务 开源治理服务(CodeArts Governance)是针对软件研发提供的一站式开源软件治理服务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。
请参见如何恢复为手动续费。 手动续费资源。 单个续费:在资源页面找到需要续费的资源,单击操作列的“续费”。 批量续费:在资源页面勾选需要续费的资源,单击列表左上角的“批量续费”。 选择开源治理服务的续费时长,判断是否勾选“统一到期日”,将开源治理服务到期时间统一到各个月的某一天(
成分分析的开源软件风险如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
源开通自动续费。 为包年/包月资源开通自动续费。 单个资源开通自动续费:选择需要开通自动续费的开源治理服务,单击操作列“开通自动续费”。 批量资源开通自动续费:选择需要开通自动续费的开源治理服务,单击列表左上角的“开通自动续费”。 选择续费时长,并根据需要设置自动续费次数,单击“开通”。
添加二进制成分分析任务 提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。
快速创建一个二进制成分分析任务 开源治理服务(CodeArts Governance)是针对软件研发提供的一站式开源软件治理服务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助
查看二进制成分分析扫描详情 该任务指导用户通过开源治理服务查看二进制成分分析扫描结果。 前提条件 已获取管理控制台的登录账号与密码。 已执行扫描任务。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可
终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,开源治理服务的终端节点如表1所示,请您根据业务需要选择对应区域的终端节点。 表1 开源治理服务的终端节点 区域名称 区域 终端节点(Endpoint) 协议类型 华北-北京四 cn-north-4 devsecurity.cn-north-4.myhuaweicloud
说明 URI-scheme 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从终端节点中获取。 例如,IAM服务在华北-北京四区域的Endpoint为iam.cn-north-4
使用CodeArts Governance进行二进制成分分析 应用场景 据《2024年中国软件行业全景图谱》统计,2023年国内软件市场规模超12万亿,我国软件行业正处于成长期,市场规模增长较快,预计2029年整体行业的市场规模将超21万亿。据《2023年软件供应链状况报告》指出
产品优势 二进制成分分析 无源码、无侵入快速检测 只需要上传产品发布包或固件,无需构建运行环境或运行程序。 多语言、多文件格式、多架构平台 支持多语言,多构建场景下的制品检测,场景覆盖不遗漏。 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现。 敏感信息检测防泄露
控制台总览 开源治理服务(CodeArts Governance)是覆盖软件研发阶段的安全、合规检测产品集合,提供一站式的原子化的安全服务和专家咨询服务的入口,满足企业客户、检测机构针对于研发阶段安全和漏洞检测的需求。 本节为您介绍开源治理服务控制台登录方式及菜单页。 登录开源治理服务控制台
功能特性 开源治理服务提供端到端的专项安全检测能力和开源软件元数据管理能力,功能特性如下: 开源知识库 提供开源软件统一管理能力,通过对开源软件元数据、开源软件制品及源码的统一管理,提供可信的开源软件来源。 开源元数据中心 提供已治理(元数据完整性、依赖信息、恶意软件扫描等)的开
概述 开源治理服务(CodeArts Governance)是针对软件研发提供的一站式开源软件治理服务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
