检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
HEX、RockChip、U-Boot等固件。 支持上传的文件大小:不超过5GB。 平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。 父主题: 二进制成分分析类
Governance移动应用安全特性变更通知 变更公告 华为云计划于2024/03/12 22:00(北京时间)下线开源治理服务CodeArts Governance中的移动应用安全扫描特性。 变更范围 变更区域:中国站所有区域 变更影响 华为云在此提醒您,特性下线后,您将无法在开源治理服务CodeArts
华为云计划于2023/11/15 22:00(北京时间)对开源治理服务CodeArts Governance移动应用安全按需套餐包(10次、1次)规格进行停售。 停售范围 停售区域:中国站所有区域 停售影响 正式停售后,用户无法新购,已购买移动应用安全相关规格的用户不受影响,可继续使用至套餐包到期。
与其他服务的关系 与代码检查服务的关系 开源治理服务中的代码检查功能由独立的代码检查(CodeArts Check)云服务提供,用户可以通过超链接跳转至代码检查的页面进行使用。当前代码检查是CodeArts云服务下的子服务,用户需开通CodeArts服务方可使用。 与漏洞管理服务的关系
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 父主题: 二进制成分分析类
成分分析的开源软件风险如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
成分分析的资源包为什么购买失败了? 可能是因为权限不足导致购买失败,请检查用户权限。 用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买开源治理服务。如需开通该权限,请联系拥有Tenant Administrator权限的用户,开通权限,详细
成分分析的开源漏洞文件路径如何查看? 有多种方式可查看开源漏洞分析结果的文件路径: 方式一:进入报告详情页面,打开开源漏洞分析扫描结果,单击“组件名称”可查看包含组件的文件对象,鼠标放在相应“对象路径”,即可查看该对象路径,也可单击右侧按钮复制; 方式二:打开报告详情页面,单击“下载报告
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
成分分析的任务扫描失败怎么办? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。
成分分析的安全编译选项类问题如何分析? 成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。
漏洞信息参数说明 参数 参数说明 CVE 漏洞的CVE名称。 发布时间 该漏洞的发布时间。 CVSS版本 该漏洞的分数版本。 CVSS 该漏洞的分数。 漏洞等级 该漏洞分数对应的漏洞等级。 单击“CVE”字段,查看漏洞的详细信息。 图5 漏洞详细信息
表2 Query参数 参数 是否必选 参数类型 描述 start_time 是 String 开始时间 最小长度:19 最大长度:19 end_time 是 String 结束时间 最小长度:19 最大长度:19 请求参数 无 响应参数 状态码: 200 表3 响应Body参数 参数
表2 Query参数 参数 是否必选 参数类型 描述 start_time 是 String 开始时间 最小长度:19 最大长度:19 end_time 是 String 结束时间 最小长度:19 最大长度:19 请求参数 无 响应参数 状态码: 200 表3 响应Body参数 参数
说明 扫描对象 被扫描的软件包/固件,单击可进入本次任务的扫描详情。 文件大小 被扫描的文件的大小。 开始时间 开始扫描的时间。 扫描耗时 扫描耗费的时长。 任务状态 任务扫描状态,包括:等待中、进行中、已完成、已停止、已失败。 检测结果风险统计 显示各检查项的检测项目风险文件总数。
成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。 任务时长 成分分析扫描完成、失败或停止的所用时长。 操作 查看报告、停止、删除按钮。 在下拉框下拉选择任务状态,可根据任务状态筛选查看任务。 在输入框中输入任务名称关键字或任务描述,可根据文件名关键字或任务描述筛选查看,可以和任务状态联合使用。
对于获取用户Token接口,您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示,加粗的斜体字段需要根据实际值填写,其中username为用户名,domainname为用户所属的账号名称,********为用户登录密码,xxxxxxxxxx为project的名称,如cn-north-4,您可以从终端节点中获取。
和风险分析以及重置操作。 图1 开源许可证 单击许可证的风险等级下拉框可以自定义对应许可证的风险等级。 单击许可证操作栏的“重置”可以恢复对应许可证的默认风险等级。 单击“全部重置”可以批量重置所有风险项
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
