检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
中不包含常见的web漏洞:如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等,如检测结果中包含一个高危漏洞,则扫描结果为不通过,请整改后再发布上架。 安全扫描支持扫描的漏洞请参见:安全扫描支持扫描哪些漏洞?
ame”。 安全漏洞扫描 商品发布时,下拉框选择网站漏洞扫描结果为空,或安全漏洞扫描结果时未通过;请在“卖家中心>应用工具>安全漏洞扫描“,请重新完成安全漏洞扫描,关联的安全漏洞扫描结果需为通过。 安全漏洞扫描操作指导及安全规范可参考《SaaS类商品安全漏洞扫描操作指导及安全规范》。
镜像安全扫描标准 商家应对镜像中出现的安全漏洞及其造成的后果负责,具体标准如下: 安全属性 标准说明 病毒扫描 镜像不能包含病毒、木马、恶意程序。 主机漏洞扫描 镜像文件不能包含CVSS评分≥7.0的高风险级别的漏洞。 操作系统的预置账号和密码,预置密钥扫描 镜像文件的操作系统禁止预置登陆账号和密码,禁止预置登陆密钥。
您需确保您的应用中不包含常见的web漏洞:如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等,如检测结果中包含一个高危漏洞,则扫描结果为不通过,请整改后再发布上架。 父主题: 发布SaaS类商品相关操作指导
商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。 Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识。
像制作系统盘镜像发布到云商店,建议制作私有镜像的云服务器选择以下区域,制作完成后可复制到其他区域。 区域 RegionCode 备注 新加坡 AP-Singapore 推荐使用 为确保后续安全扫描通过,商家需按照镜像安全扫描标准自检确保镜像无安全漏洞。 为确保后续安全扫描正常进行,商家需为镜像开启远程登陆服务:
资产安全检测标准 商家提交应用资产发布申请后,云商店会对资产中的软件包进行自动化安全扫描,扫描内容如下: 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤 登录已成功入驻云商店的华为云帐号,进入卖家中心页面。
License商品线上服务监管 服务监管总体流程 2023年4月28日后购买的联营商品订单中,赋能云场景仍需“华为云复核”,非赋能云场景则不再需要“华为云复核”。 注:赋能云场景指使用了赋能云政府现金券补贴的场景。 “华为云复核”节点按照“基地经理交付验收确认→代表处生态发展与运
法。 安全扫描 如所发布的商品涉及安全漏洞扫描,则选择所关联的安全漏洞扫描结果;如商品不涉及安全漏洞扫描,则在“异常原因反馈”处填写反馈描述。 是否涉及服务监管 如发布的SaaS商品涉及服务监管,请选择“是”,系统最终会对服务状态为“已完成”的订单进行结算。商品上架后不支持对此选项进行修改,请谨慎选择。
商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。 Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识。
准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口。 在卖家中心完成安全漏洞扫描。 在卖家中心申请发布SaaS商品。 云商店运营人员审批通过后产品发布成功。 在卖家中心自助管理生产接口通知消息。 2024年4月27日后新入驻的商家或者上架新商品,统一按照《SaaS类商品接入指南 V2.0》规范进行接口开发和调测。
域、创建方式、名称等配置信息,单击“立即创建”。 云商店镜像类商品是指将商家基于华为云公共系统制作的系统盘镜像作为商品,制作镜像时请制作系统盘镜像。 进入“资源详情”页面,确认镜像信息无误后,单击“提交申请”。 单击左侧导航栏“镜像服务 > 私有镜像”,查看已制作的私有镜像。 制
录。 点击“预览”。 系统显示该商品发布后的商品详情页面。 预览无误后,点击“提交”。 系统提示“你确认要提交该商品吗?”。 点击“确认”。 系统提示“商品发布已提交审核!”。 发布SaaS商品提交时,系统会实时调用生产系统接口进行校验:使用该商品的生产系统接口调测成功并保存的所
商品正式发布前,应使用漏洞扫描工具进行漏洞扫描测试,CVSS评分≥7.0的高风险级别的漏洞必须得到解决或有效规避。 应用安全 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作,仅允许在服务端进行最终的认证处理。 Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识。
联营商品赋能云场景验收规则 以下两种情况的联营订单属于赋能云场景下的订单(或的关系),在服务监管验收过程中需遵循赋能云场景下联营订单服务监管验收规则: 用户归属赋能云赛道; 用户使用了赋能云的现金券。 赋能云场景下的订单,在商家完成实施服务并上传验收报告后,华为侧需对验收报告进行复核。
更为“授权码激活”,请您确认交付完成后,再将该授权码提供给服务商,用户一旦领取授权码后,将无法发起协商退订。 商家将调用云商店提供的“激活授权码”开放接口,激活授权码,系统检测到该授权码已激活后自动通过此节点,服务实际开通时间与授权码激活时间一致。 商家激活授权码后,将交付文件证明上传至服务监管中。
档,单击“确认完成”。 在系统显示的弹框页面,单击“确定”。 如订单属于非赋能云场景,订单将流转至用户侧。用户线上点击确认验收后,订单完成,服务监管流程结束。 如订单属于赋能云及基地云场景,服务监管状态变更为“华为云复核”,待华为云侧复核交付验收件无误后,订单将流转至用户侧。用户
资产安全检测标准 商家提交应用资产发布申请后,云商店会对资产中的软件包进行自动化安全扫描,扫描内容如下 检测项 具体要求 病毒扫描 软件包不能包含病毒、木马、恶意程序 软件包漏洞扫描 软件包不能包含CVSS评分≥7.0的高风险级别的漏洞。 新增资产操作步骤 登录已成功入驻云商店的
云商店运营人员审核公司的资质信息。 准备生产接口服务器,根据本接入指南开发生产接口。 在卖家中心调试生产接口,参考接口调试。 在卖家中心完成安全漏洞扫描。 在卖家中心创建应用凭证,参考应用凭证申请。 在卖家中心申请测试账号。 SDK账密或WEB场景的界面登录。 验证登录成功。 加入联营计划,成为联营商家。
商家提交镜像资产发布申请后,云商店会对镜像文件进行自动化安全扫描,扫描内容如下: 检测项 具体要求 病毒扫描 镜像不能包含病毒、木马、恶意程序。 主机漏洞扫描 镜像文件不能包含CVSS评分≥7.0的高风险级别的漏洞。 操作系统的预置账号和密码,预置密钥扫描 镜像文件的操作系统禁止预置登陆账号和密码,禁止预置登陆密钥。