检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
生成PDF报告”或“生成Excel报告”,重新生成扫描报告。 图2 下载扫描报告 二进制成分分析扫描报告模板说明 下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板主要内容说明如下:(以下截图中的数据仅供参考,请以实际扫描报告为准) 概览 查看目标软件包的扫描漏洞数。 图3
扫描到恶意代码如何定位? 进入报告详情页面,打开恶意软件扫描结果,单击“文件名称”打开恶意代码详情,可以查看告警文件位置和扫描的恶意检测结果,可以通过关键日志定位具体告警位置。 父主题: 二进制成分分析类
的任务。单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括:任务名称、扫描类型、文件大小、特征库版本、任务描述等基本信息。 显示目标任务的组件检测、安全漏洞、开源许可证检测概况,包括:
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 父主题: 二进制成分分析类
在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括:文件名、文件大小、特征库版本、平台版本等基本信息。 显示目标任务的组件检测、安
际情况选择扫描文件或代码仓。 文件扫描 图1 添加文件扫描任务 参数 参数说明 任务名称 源码成分分析任务的名称。 扫描类型 待扫描的源码类型,包括文件和代码仓。 扫描对象 待扫描的源码文件。 任务描述 对当前源码成分分析任务的说明。 代码仓扫描 图2 添加代码仓扫描任务 参数 参数说明
DF报告中第3章节,即可查看相应组件文件路径。 方式三:打开报告详情页面,单击“下载报告”,“生成Excel报告”,待文件生成后单击“导出Excel”下载报告至本地,查阅Excel报告中“组件报告”或“漏洞报告”sheet页,即可查看相应组件文件路径。 对象路径以“/”标识目录结
文件在传送过程中损坏,导致无法正确解析。重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系服务运维团队。 若用户使用“按需套餐包”创建正式版任务,如果任务扫描失败,不会扣除套餐包配额;若用户使用免费版配额创建免费版任务,如果任务扫描失败,不会扣除免费版配额。
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
创建二进制成分分析扫描任务 功能介绍 创建二进制成分分析扫描任务,需先将待扫描包上传至文件服务器临时上传地址中 URI POST /v1/{project_id}/sbc/task/start 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String
Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。 支持上传的文件大小:不超过5GB。 平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。 父主题:
创建报告Excel 功能介绍 根据任务ID创建报告Excel URI POST /v1/{project_id}/sbc/report/excel/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32
创建报告PDF 功能介绍 根据任务ID创建报告PDF URI POST /v1/{project_id}/sbc/report/pdf/create 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32
下载报告Excel 功能介绍 根据任务ID下载报告Excel URI GET /v1/{project_id}/sbc/report/excel 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32
下载报告PDF 功能介绍 根据任务ID下载报告PDF URI GET /v1/{project_id}/sbc/report/pdf 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32 最大长度:32 表2
获取开源漏洞分析报告 功能介绍 根据任务ID获取开源漏洞分析的报告 URI GET /v1/{project_id}/sbc/task/report/opensource 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确
息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析
查看报告Excel状态 功能介绍 根据任务ID查看报告Excel状态 URI GET /v1/{project_id}/sbc/report/excel/status 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id
查看报告PDF状态 功能介绍 根据任务ID查看报告PDF状态 URI GET /v1/{project_id}/sbc/report/pdf/status 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 用户project_id 最小长度:32