检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
源软件清单和潜在风险清单,并输出一份专业的分析报告。 用户只需要上传代码文件或关联代码仓库提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 已准备好待扫描的源码包。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 >
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 认证证书
安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项:支持检测包中二进制文件编译过程中相关选项是否存在风险。
二进制成分分析按需套餐包按扫描成功的次数结算,配额包扣费有延时,当前使用的次数会在1小时后从配额包中扣除。 套餐包规格如下: 20次:包含20次单文件扫描。 1次:包含1次单文件扫描。 假设您计划购买开源治理服务二进制成分分析按需套餐包,在购买页面底部,您将看到所需的配置费用。 图1 二进制成分分析按需套餐包配置费用示例
单击页面右上角“续费”。 进入“续费管理”页面,确认续费信息,单击“去支付”。 可设置“统一到期日”,勾选前面的复选框,到期日为设置的“统一到期日”。 套餐到期时间延长至统一到期日,可能产生额外的续费天数,您可以通过续费页面的“续费时长”列核对该天数。 进入支付页面,确认订单信息无误后,单击“确认付款”。
从控制台获取项目ID 在调用接口的时候,部分URL中需要填入项目编号,所以需要获取到项目编号。项目编号获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,在下拉列表中单击“我的凭证”。 进入“我的凭证 > API凭证”页面,在项目列表中查看项目ID。 图1 查看项目ID 多项目时
请确认包年/包月开源治理服务还未到期。 在购买开源治理服务页面开通自动续费 您可以在购买开源治理服务页面开通自动续费。 在续费管理页面开通自动续费 登录管理控制台。 在页面上方选择“费用 > 续费管理”进入“续费管理”页面。 自定义查询条件。 可在“自动续费项”页签查询已经开通自动续费的资源。
开源/第三方软件引入评估 二进制成分分析服务提供页面和开放API,提供风险快速评估能力。 源码成分分析 源码成分分析主要用于以下场景。 源代码级成分分析 识别项目源码中包含的开源成分,精确至代码片段级。 开源漏洞识别与解决建议 识别项目源码中引入的开源漏洞,并给出专业的修复建议。
警提供专业的解决方案和修复建议。 恶意代码检查:提供病毒木马等恶意软件的扫描,支持开源软件中敏感信息外发、木马下载执行、反弹shell、恶意命令执行恶意行为检测。 方案架构 以下示意图为用户申请开源/第三方软件场景,该软件包含制品包,将制品包提供给二进制成分分析服务进行检测,检测
传输加密(HTTPS) 为保证数据传输的安全性,CodeArts Governance使用HTTPS传输数据。 个人数据保护 通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 隐私数据保护 CodeArts Governance不消费、不存储用户敏感数据。
用户登录密码,xxxxxxxxxx为project的名称,如cn-north-4,您可以从终端节点中获取。 scope参数定义了Token的作用域,下面示例中获取的Token仅能访问project下的资源。您还可以设置Token额作用域为某个账号下所有资源或账号的某个projec
成分分析的主要扫描规格有哪些? 成分分析的扫描原理是什么,主要识别哪些风险? 成分分析的开源软件风险如何分析? 成分分析的安全编译选项类问题如何分析? 更多 远程登录 应用容器化改造介绍 应用容器化改造流程 步骤1:对应用进行分析 步骤2:准备应用运行环境 步骤2:准备应用运行环境 步骤2:准备应用运行环境
在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本
登录开源治理服务控制台。 在左侧导航栏,单击“软件成分分析 > 二进制成分分析”。 在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。 单击右上角“下载报告”,选择“生成PDF报告”或“生成Excel报告”。 扫描报
包年/包月计费模式的资源完成支付后,会实时上报一条账单到计费系统进行结算。 查看指定订单账单 登录管理控制台。 在页面上方选择“费用 > 费用账单”,进入“账单概览”页面。 选择“账单管理 > 流水和明细账单”,选择账期,设置筛选条件(“产品类型”选择“开源治理服务 CodeArts
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄
成分分析的安全编译选项类问题如何分析? 成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。 查看目标文件对应的安全编译选项结果。
成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用的开源软件包含被动依赖软件,该依赖软件可能为部分引用,造成软件无法识别或版本识别异常。
前提条件 已获取管理控制台的登录账号与密码。 操作步骤 登录开源治理服务控制台。 在左侧导航栏,单击“开源许可证”。 在“开源许可证”页面,可看到许可证列表,内容包含许可证名称、集成风险、许可证描述和风险分析以及重置操作。 图1 开源许可证 单击许可证的风险等级下拉框可以自定义对应许可证的风险等级。
State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 您可以在API Explorer中调用API,查看API请求和返回结果。此外,API Explorer会自动生成相应API调用示例,帮助您使用API。 父主题: 使用前必读
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
