检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SaaS类商品安全漏洞扫描操作指导及安全规范 安全漏洞扫描操作指导 发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。请您先对应用完成安全漏洞扫描自测试,具体操作流程如下。 操作步骤 进入卖家中心页面。
中不包含常见的web漏洞:如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等,如检测结果中包含一个高危漏洞,则扫描结果为不通过,请整改后再发布上架。 安全扫描支持扫描的漏洞请参见:安全扫描支持扫描哪些漏洞?
ame”。 安全漏洞扫描 商品发布时,下拉框选择网站漏洞扫描结果为空,或安全漏洞扫描结果时未通过;请在“卖家中心>应用工具>安全漏洞扫描“,请重新完成安全漏洞扫描,关联的安全漏洞扫描结果需为通过。 安全漏洞扫描操作指导及安全规范可参考《SaaS类商品安全漏洞扫描操作指导及安全规范》。
镜像安全扫描标准 商家应对镜像中出现的安全漏洞及其造成的后果负责,具体标准如下: 安全属性 标准说明 病毒扫描 镜像不能包含病毒、木马、恶意程序。 主机漏洞扫描 镜像文件不能包含CVSS评分≥7.0的高风险级别的漏洞。 操作系统的预置账号和密码,预置密钥扫描 镜像文件的操作系统禁
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
在卖家中心填入SaaS网站地址,自动触发WEB漏洞扫描 1、上传软件包至海顿平台,执行病毒扫描、HSS基线规则扫描、二进制扫描、WEB漏洞扫描。 2、提供手工测试用例的结果。 1、卖家中心的SAAS安全扫描界面自动触发WEB漏洞扫描+安全自检。 2、联营认证的海顿测试中,无需再执行安全测试。
授权码心跳检测 功能介绍 商家进行授权码的激活后,用户每日首次使用License软件时,商家需要调用该接口,若不使用则无需调用。 URI POST https://mkt.myhuaweicloud.com/api/mkp-openapi-public/global/v1/license/heartbeat
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
包符合资产安全检测标准。 资产安全检测标准 商家提交应用资产发布申请后,云商店会对资产中的软件包进行自动化安全扫描,扫描内容如下: 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
件包符合资产安全检测标准。 资产安全检测标准 商家提交应用资产发布申请后,云商店会对资产中的软件包进行自动化安全扫描,扫描内容如下 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤
测试授权码激活和心跳检测 为了保证License授权码接入方式的正确性,云商店为商家在卖家中心搭建了申请测试授权码的界面。商家可以在此页面申请一个或者多个测试授权码来调试License软件集成验证,通过授权码管理License软件的统一生命周期和心跳检测的正确性。 操作步骤 在“卖家中心
所有能对系统进行管理的人机接口以及可通过公网访问的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 安全加固 商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。
符合镜像资产安全检测标准。 镜像资产安全检测标准 商家提交镜像资产发布申请后,云商店会对镜像文件进行自动化安全扫描,扫描内容如下: 检测项 具体要求 病毒扫描 镜像不能包含病毒、木马、恶意程序。 主机漏洞扫描 镜像文件不能包含CVSS评分≥7.0的高风险级别的漏洞。 操作系统的预置账号和密码,预置密钥扫描
发布SaaS类商品如涉及为用户提供网站服务(包括业务前台,管理后台portal等),您需确保您的应用不存在恶意内容,高危漏洞等。商家需按照云商店商品安全审核标准3.0自检SaaS网站并且完成通过SaaS安全扫描。 发布SaaS类商品前,您需要进行接口开发,以供华为云云商店调用。具体接入操作请参见:手册指导:SaaS类商品接入指南
区域。 区域 RegionCode 备注 新加坡 AP-Singapore 推荐使用 为确保后续安全扫描通过,商家需按照镜像安全扫描标准自检确保镜像无安全漏洞。 为确保后续安全扫描正常进行,商家需为镜像开启远程登陆服务: 如果是linux,请修改ssh服务配置文件,将sudo vi
” 敏感信息加密算法 如请求消息中需传递隐私字段,请根据实际情况选择敏感信息加密算法。 安全扫描 如所发布的商品涉及安全漏洞扫描,则选择所关联的安全漏洞扫描结果;如商品不涉及安全漏洞扫描,则在“异常原因反馈”处填写反馈描述。 是否涉及服务监管 如发布的SaaS商品涉及服务监管,请
申请入驻云商店,成为商家。 云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口。 在卖家中心完成安全漏洞扫描。 在卖家中心申请发布SaaS商品。 云商店运营人员审批通过后产品发布成功。 在卖家中心自助管理生产接口通知消息。 2024年4月27日
云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口,参考接口调试。 在卖家中心完成安全漏洞扫描。 在卖家中心创建应用凭证,参考应用凭证申请。 在卖家中心申请测试账号。 SDK账密或WEB场景的界面登录。 验证登录成功。 加入联营计划,成为联营商家。
云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口,参考1.8 接口调试。 在卖家中心完成安全漏洞扫描。 在卖家中心创建应用凭证,参考1.6 应用凭证申请和修改。 在卖家中心申请测试账号。 WEB场景的界面登录验证。 验证登录成功。 加入联营计划,成为联营商家。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
