华为漏洞管理服务(二进制成分分析)价格表
二进制成分分析套餐包
套餐包规格
20次:包含20次单文件扫描
1次:包含1次单文件扫描
主要功能
二进制成分分析:该服务提供对产品二进制包的快速逆向分析,如:开源软件已知漏洞、密钥和信息泄露、安全配置检测,并提供汇总的分析报告
温馨提示:
1、价格计算器是参考价格,具体扣费请以实际下单结果为准。
2、在按需付费模式下,价格计算器上的金额如果遇小数点,则保留小数点后两位,第三位四舍五入。如遇四舍五入后不足¥0.01,则按¥0.01展示。
配置费用 ¥3,000.00
立即购买
为什么选择华为二进制成分分析
二进制成分分析怎么使用
-
二进制成分分析的扫描对象是什么?
▶二进制成分分析的漏洞扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。
-
二进制成分分析的主要漏洞扫描规格有哪些?
▶二进制漏洞扫描支持的编程语言类型:C/C++/Java/Go/JavaScript/Python。
二进制漏洞扫描支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。
二进制漏洞扫描支持上传的文件大小:不超过5GB。
二进制漏洞扫描平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。
二进制漏洞扫描服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。
-
二进制成分分析的漏洞扫描原理是什么,主要识别哪些风险?
对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:
-开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
-安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。
-信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。图1 风险项
-
二进制成分分析的开源软件风险如何分析?
二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查:
- 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
- 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确(可由相关文件的开发或提供人员协助分析),如果否,则无需后续分析。
- 已知漏洞扫描分析,分析已知漏洞是否准确。
- 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号,获取漏洞扫描详情
- 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
- 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
- License合规分析。基于报告中开源软件及对应的License分析软件是否合规,满足公司或准入要求。
- 风险解决方式:
- 已知漏洞:如果当前使用的软件版本存在漏洞,可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
- License合规:如果使用的软件存在合规风险,则需要寻找相似功能且合规的开源软件进行替代。
-
二进制成分分析漏洞扫描的安全配置类问题如何分析?
1.二进制成分分析漏洞扫描会检测用户包中一些安全配置项是否合规,主要如下:
-用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。
-用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
2.二进制安全配置类检查问题分析指导:
导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。
检查结果说明:
-审视项:检查的方式/方法。
-问题:存在问题的文件列表,若无问题则显示暂无问题。
-建议值:针对检查出的问题给出的修改建议。
-描述:审视项描述。
-
二进制成分分析漏洞扫描的信息泄露问题如何分析?
二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。
针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF漏洞扫描报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。
-问题类型:IP泄露/硬编码密码/Git地址泄露等。
-文件路径:发现信息泄露的文件在包中的全路径。
-上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。
-匹配内容:实际发现的风险内容。
-匹配位置:在文件中x行,x位置发现的信息泄露风险。
漏洞扫描工具(二进制成分分析)必看文档
-
漏洞管理服务(二进制成分分析)的功能特性
漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。
漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。
-
漏洞管理服务(二进制成分分析)的规格差异
漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。
漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。
-
漏洞扫描工具(二进制成分分析)的使用约束
漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。
漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。
-
漏洞扫描工具(二进制成分分析)计费说明
本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。漏洞管理服务根据您的漏洞管理服务服务版本,扫描配额包的个数和购买时长计费。漏洞管理服务提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。
本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。漏洞管理服务根据您的漏洞管理服务服务版本,扫描配额包的个数和购买时长计费。漏洞管理服务提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。
-
漏洞管理服务(二进制成分分析)个人数据保护机制
为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,漏洞管理服务通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。
为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,漏洞管理服务通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。
-
漏洞管理服务(二进制成分分析)权限管理
如果需要对华为云上购买的漏洞管理服务资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
如果需要对华为云上购买的漏洞管理服务资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
-
漏洞管理服务(二进制成分分析)与其他服务的关系
统一身份认证服务为漏洞管理服务提供了权限管理的功能。需要拥有漏洞管理服务 Administrator权限的用户才能使用漏洞管理服务服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯
统一身份认证服务为VSS提供了权限管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯
-
如何使用漏洞管理服务(二进制成分分析)
漏洞管理服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。
漏洞管理服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。
-
漏洞管理服务api基本概念
用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。
用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。
