检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
029年整体行业的市场规模将超21万亿。据《2023年软件供应链状况报告》指出,过去三年针对软件供应链的攻击平均年增长高达742%。因此,开源/第三方软件引入评估面临以下问题: 针对采购的软件或对外交付的软件产品没有很好的安全检测手段。 产品需要对供应商有基础的安全性认证。 开源
前提条件 已获取管理控制台的登录账号与密码。 已执行扫描任务。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。
检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。 源码成分分析 对用户提供的源码进行全面分析,通过解压获取源码包中所有待分析源码文件,基于源码特征识别技术,获得相关被测对象的开源软件清单和潜在风险清单,并输出一份专业的分析报告。
Governance)是针对软件研发提供的一站式开源软件治理服务,凝聚华为在开源治理上的优秀实践经验,提供开源软件元数据及软件成分分析、恶意代码检测等能力,从合法合规、网络安全、供应安全等维度消减开源软件使用风险,助力企业更加安全、更加高效地使用开源软件。 您可以使用本文档提供的API对开源治理服务
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求
组进行授权? 登录华为云,在右上角单击“控制台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择“用户组”,单击用户组名称即可查看角色授权记录。 切换至“用户管理”页签,可以查看该用户组下的所有用户,也可以将其他用户添加至该用户组。 如果该用户组缺少相应角色
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID,所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,在下拉列表中单击“我的凭证”。 进入“我的凭证 > API凭证”页面,即可查看账号ID。 父主题: 附录
单击组件名称进入组件详情页面,显示该组件包含的文件对象和已知漏洞信息。 开源许可证 显示开源软件的许可证检测结果,包括许可证使用的风险等级和许可证间的兼容性风险。 许可证信息:源码文件包许可证检测结果,包含许可证名称、集成风险、涉及组件和许可证描述和风险分析。 许可证兼容性:源码文件包中各目录的许可证间兼容性风险检测。
成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用的开源软件包含被动依赖软件,该依赖软件可能为部分引用,造成软件无法识别或版本识别异常。
在“二进制成分分析”页面,单击“添加任务”,弹出“添加任务”对话框,单击“扫描对象”旁的文件框,选择需要扫描的软件包/固件,在弹出的配置框中,导入扫描对象。 图1 添加任务 表1 参数说明 参数 参数说明 扫描对象 待扫描的软件包/固件。 任务名称 扫描文件的名称。 任务描述 对任务信息进行说明。 是否将本次扫描升级为正式版规格
扫描到恶意代码如何定位? 进入报告详情页面,打开恶意软件扫描结果,单击“文件名称”打开恶意代码详情,可以查看告警文件位置和扫描的恶意检测结果,可以通过关键日志定位具体告警位置。 父主题: 二进制成分分析类
获取开源漏洞分析报告 功能介绍 根据任务ID获取开源漏洞分析的报告 URI GET /v1/{project_id}/sbc/task/report/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
提供代码片段级别的代码克隆(TYPE1、TYPE2)检测分析服务,发现潜在的开源软件使用合规风险。 漏洞风险检测 提供已知漏洞安全检测分析服务,发现潜在的开源软件安全风险。 许可证合规检测 提供开源软件许可证风险等级评估体系,发现潜在的开源软件兼容性以及篡改等风险。
获取开源漏洞分析统计数据 功能介绍 根据任务ID获取开源漏洞分析的统计数据 URI GET /v1/{project_id}/sbc/task/summary/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
获取安全配置统计数据 功能介绍 根据任务ID获取安全配置的统计数据 URI GET /v1/{project_id}/sbc/task/summary/secconfig 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
获取密钥和信息泄露统计数据 功能介绍 根据任务ID获取密钥和信息泄露的统计数据 URI GET /v1/{project_id}/sbc/task/summary/infoleak 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
台”。 鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 选择待授权的用户,单击“授权”。 进入“选择授权方式”步骤,选择“继承所选用户组的策略”,然后勾选具有Tenant Administrator或VSS Administrator权限的用户组。 单击“确定”完成授权。
Unauthorized 当前请求需要用户验证。 403 Forbidden 服务器拒绝执行该请求。 404 Not Found 服务器无法找到被请求的资源。 418 I'm a teapot 请求参数错误,服务器无法处理该请求。 500 Internal Server Error 请求失败,服务异常。
Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 在
在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。 单击右上角的“生成PDF报告”或“生成Excel报告”。 图1 生成扫描报告 扫描报告生成完成后,单击右上角的“导出PDF”或“导出Excel”,可以下载扫描报告。 生成的扫描报告
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
