如何用VSS一键自动化扫描软件包/固件,快速排查安全风险

华为云PaaS小助手 发表于 2022/04/08 18:28:22 2022/04/08
【摘要】 体验通过VSS服务的“二进制成分分析”对用户提供的二进制软件包/固件进行全面分析,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。

您将会学到什么

您将学会如何通过VSS实现一键自动化扫描软件包/固件,快速排查其中的开源软件、安全配置等风险工具通过安全数据智能分析和整合呈现多元化数据,使产品安全现状清晰明了

您需要什么

硬件要求

 PC电脑

软件要求

 Chrome浏览器

需要的知识点

 熟悉常规电脑操作常识

环境准备

注册华为云账号、实名认证

· 如果您已拥有华为账号且已通过实名认证,可直接体验。

· 若您还没有通过实名认证的账号,请注册华为账号,然后完成实名认证(推荐使用“扫码认证”方式,即时完成)。

· 参考如何实名认证如何扫码认证

添加任务

1. 使用Chrome浏览器,登录漏洞扫描服务在左侧导航栏,单击二进制成分分析

2首次使用可以单击免费开通体验二进制成分分析服务,进入任务列表页面


每个华为云账号拥有5次免费试用的机会

3单击“添加任务”,在弹出的对话框中,单击“添加文件”选择本地的软件包(见文末附件),导入扫描对象,点击确定开始任务扫描,页面跳转至任务列表

免费任务限制文件大小为100MB支持开源软件风险扫描,不支持报告导出

注:若打开升级按钮,本次扫描将升级为正式版规格,任务扫描成功后一小时内将从您购买的套餐包中扣除一次扫描配额。正式版任务限制文件大小为5GB,支持开源软件风险、信息泄露风险、配置类风险等3大类,支持报告导出。

注:若当前账户无套餐包扫描配额,将无法创建正式版任务,可前往购买套餐包后使用。

查看报告

1.点击“刷新”,任务列表将被刷新。根据不同的压缩格式或者文件类型,任务扫描时长会有一定的差异,平均100MB/min

2. 待任务状态为“已完成”时,可点击任务名称或“报告”进入报告详情页面。

3.详情总览说明

栏目

说明

基本信息

查看扫描文件大小、版本、特征库版本等基本信息。

任务信息

显示目标任务的基本信息,包括:

· 组件结果:被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。

· 漏洞级别:超危、高危、中危、低危各个级别漏洞数量占比。

· 许可协议:展示数量排名前六漏洞使用的许可。

· 检测结果风险统计:密钥和信息泄露。

· 检测项目合规统计:安全配置。

开源漏洞分析

显示扫描任务中的每个组件的组件名、组件版本、许可协议、包含文件数以及存在漏洞数。组件名称和漏洞数可按升降序查看。

恭喜

已完成体验

华为云PaaS产品体验大本营

(答疑交流福利群)

华为云PaaS产品体验大本营.jpg


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。