华为云用户手册

专属资源池介绍 专属资源池可以在如下作业和任务中使用：Notebook、训练作业、TensorBoard、部署上线。 专属资源池分为“开发环境/训练专用”和“部署上线专用”两种类型。“开发环境/训练专用”类型的专属资源池只能用于Notebook、训练作业、TensorBoard等功能，“部署上线专用”类型的专属资源池只能用于AI应用的部署上线。 只有处于“运行中”状态的专属资源池才是可用的。如果专属资源池状态为“不可用”或“异常”，请排除故障后再使用。 创建专属资源池后，就会基于选择的规格开始计费。 专属资源池的收费支持“按需计费”和“包年包月”两种。

创建专属资源池 登录ModelArts管理控制台，在左侧菜单栏中选择“专属资源池”。 在专属资源池管理页面，您可以选择通过“开发环境/训练专用”和“部署上线专用”页签选择两种不同类型的专属资源池。 单击左上角“创建”，进入创建专属资源池界面。 在“创建专属资源池”界面填写参数，参数填写请参见表1和表2。 表1 “开发环境/训练专用”专属资源池的参数说明 参数名称 说明 资源类型 系统默认为“开发环境/训练专用”， 不可修改。 计费模式 选择计费模式，“包年/包月”或“按需计费”。 名称 专属资源池的名称。 名称由大小写字母、数字、中划线和下划线组成。 描述 专属资源池的简要描述。 节点数 选择专属资源池的节点数，选择的节点数越多，计算性能越强，同时费用越高。 节点规格 请根据界面提示选择需要使用的规格，GPU性能更好，CPU更加实惠。如果某一规格出现“售罄”字样，表示此规格已用完，需要等待其他用户删除资源池后，您才可以重新购买。 购买时长 选择购买时长。只有选择“包年/包月”计费模式时才需填写。 最少为1个月，最长为1年。其中，ModelArts推出套餐包优惠，购买10个月赠送2个月，直接选择1年的购买时长即可完成买10个月送2个月的套餐包购买。 自动续费。开通自动续费后，系统将在产品到期前自动续费，无需用户手动操作。 表2 “部署上线专用”专属资源池的参数说明 参数名称 说明 资源类型 系统默认为“部署上线专用”， 不可修改。 计费模式 选择计费模式，“包年/包月”或“按需计费”。“包年/包月”仅在北京四支持。 名称 专属资源池的名称。 名称只能以小写字母开头，由小写字母、数字、中划线组成，不能以中划线结尾，长度为4~24个字符。 描述 专属资源池的简要描述。 自定义网络配置 启用自定义配置，则服务实例运行在指定的网络中，可以与该网络中的其它云服务资源实例互通；不启用自定义配置，ModelArts会为每个用户分配一个专属的网络，用户之间隔离。 如果启用自定义网络配置，请设置对应的“虚拟私有云”、“子网”和“安全组”。如果没有可用网络，请前往虚拟私有云服务创建。 可用区 您可以根据实际情况选择“随机分配”、“可用区1”、“可用区2”、“可用区3”。可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离。如果您需要提高工作负载的高可靠性，建议您将云服务器创建在不同的可用区。 节点数 选择专属资源池的节点数，选择的节点数越多，计算性能越强，同时费用越高。 节点规格 请根据界面提示选择需要使用的规格，GPU性能更好，CPU更加实惠。如果某一规格出现“售罄”字样，表示此规格已用完，需要等待其他用户删除资源池后，您才可以重新购买。 购买时长 选择购买时长。只有选择“包年/包月”计费模式时才需填写。最少为1个月，最长为11个月。 自动续费。开通自动续费后，系统将在产品到期前自动续费，无需用户手动操作。 规格确认无误后，根据界面提示完成专属资源池的创建。当专属资源池创建成功后，其状态将变为“运行中”。 专属资源池购买后，需要初始化环境后才能使用。

ModelArts资源池说明 ModelArts已上线新版专属资源池，推荐用户使用新版专属资源池，新版专属资源池管理文档请参考资源池管理。 当前章节仅介绍了旧版专属资源池，旧版专属资源池即将下线。新旧版专属资源池的差异请参考资源池介绍。 在使用ModelArts进行AI全流程开发时，您可以选择使用两种不同的资源池。 公共资源池：公共资源池提供公共的大规模计算集群，根据用户作业参数分配使用，资源按作业隔离。按资源规格、使用时长及实例数计费，不区分任务（训练作业、部署、开发）。公共资源池是ModelArts默认提供，不需另行创建或配置，您可以直接在AI开发过程中，直接选择公共资源池进行使用。 专属资源池：提供独享的计算资源，可用于Notebook、训练作业、部署模型。专属资源池不与其他用户共享，更加高效。 在使用专属资源池之前，您需要先购买一个专属资源池，然后在AI开发过程中选择此专属资源池。专属资源池的详细介绍和操作请参见： 专属资源池介绍 创建专属资源池 扩缩容专属资源池 删除专属资源池

运行 自定义镜像 训练作业 用户上传自定义镜像到SWR后，在创建自定义镜像作业时，默认已经授权ModelArts去获取镜像运行。自定义审核镜像第一次运行的时候，先审核镜像，审核内容请参见训练作业自定义镜像规范，审核失败的原因见于日志，用户根据日志做相应的修改。 图3 审核镜像失败 镜像审核成功后，后台就会开始启动用户自定义镜像容器，开始跑自定义镜像训练作业，用户可根据日志来查看训练情况。 审核成功后，再次使用相同镜像创建训练作业的时候，不会再次审核。 图4 运行日志

在Terminal切换各引擎的环境 您可以在Jupyter的Terminal环境中切换到其他AI引擎环境。 在Notebook列表中，创建并打开一个Notebook，或者直接打开已有的Notebook。 在Jupyter页面的“Files”页签下，单击“New”，然后选择“Terminal”，进入到Terminal界面。 您可以查看当前目录下提供的“README”切换环境，例如需要切换到“TensorFlow-1.8”，可执行命令source /home/ma-user/anaconda3/bin/activate TensorFlow-1.8进入到TensorFlow-1.8的环境并进行开发，若要退出则可执行命令source deactivate。 图2 执行命令

创建训练作业 进入ModelArts管理控制台，创建训练作业。在使用自定义镜像创建作业时，需关注“算法来源”、“环境变量”和“资源池”参数的设置。 “算法来源” 选择“自定义”页签。 “镜像地址”：镜像上传到SWR后生成的地址。 图1 SWR镜像地址 “代码目录”：训练代码文件存储的OBS路径。 “运行命令”：镜像启动后的运行命令，基本格式如下所示： bash /home/work/run_train.sh {UserCommand} bash /home/work/run_train.sh [python/bash/..] {file_location} {file_parameter} “run_train.sh”为训练启动引导脚本。执行该脚本后，ModelArts将“代码目录”下的所有内容递归下载到容器本地路径，下载后的容器本地路径为 “/home/work/user-job-dir/${“代码目录”的最后一级名称}/”。 例如，训练代码文件的OBS路径为“obs://obs-bucket/new/train.py”，“代码目录”选择“obs://obs-bucket/new/”时，则下载后的容器本地代码目录对应为“/home/work/user-job-dir/new/”。下载后的容器本地训练代码路径为“/home/work/user-job-dir/new/train.py”，运行命令可以设置为：bash /home/work/run_train.sh python /home/work/user-job-dir/new/train.py {python_file_parameter} 使用自定义镜像创建训练作业过程中，ModelArts 允许用户完全自定义“运行命令”。“运行命令”中提到以下两种基本格式： bash /home/work/run_train.sh {UserCommand} bash /home/work/run_train.sh [python/bash/..] {file_location} {file_parameter} 其中，“run_train.sh，”为训练启动引导脚本。用户在制作自定义镜像过程中，可以自主实现训练启动引导脚本，也可以提前将训练代码置于自定义镜像环境中，无需遵循上述两种格式，实现完全的自定义“运行命令”。 “环境变量” 容器启动后，除了用户在训练作业中自行增加的“环境变量”外，其它加载的环境变量如表1所示。用户可以根据需求来确认在自己训练脚本的python中是否要使用这些环境变量，也可以通过运行命令中的“{python_file_parameter}”传入相关参数。 表1 可选环境变量说明 环境变量 说明 DLS_TASK_INDEX 当前容器索引，容器从0开始编号。 DLS_TASK_NUMBER 容器总数。对应“计算节点个数”。 DLS_APP_URL 代码目录。对应界面上“代码目录”配置，会加上协议名。比如，可直接使用“$DLS_APP_URL/*.py”来读取OBS下的文件。 DLS_DATA_URL 数据集位置。对应界面上“数据来源”，会加上协议名。 DLS_TRAIN_URL 训练输出位置。对应界面上“训练输出位置”，会加上协议名。 BATCH_{jobName}.0_HOSTS（单机） 当选择单机时，即计算节点个数为1时，此环境变量为“BATCH_{jobName}.0_HOSTS”。 HOSTS环境变量的格式为“hostname:port”。一个容器可以看到同一个作业中所有容器的HOSTS，根据索引的不同，分别为“BATCH_CUSTOM0_HOSTS”、“BATCH_CUSTOM1_HOSTS”等。当资源池为8GPU规格的专属资源池时， 容器的网络类型为主机网络，并且可以使用主机IB网络加速通信。当使用其他资源池时为容器网络。 说明： 使用主机IB网络加速通信时，IPoIB特性需要ip_mapper.py工具获取ib0网卡IP地址。

步骤1：上传文件至OBS 针对大文件场景，由于OBS管理控制台对文件大小和数量限制较多，所以推荐使用OBS工具上传大文件，如OBS Browser+或obsutil工具上传。OBS Browser+是一个比较常用的图形化工具，，支持完善的桶管理和对象管理操作。推荐使用此工具创建桶或上传对象。obsutil是一款用于访问管理OBS的命令行工具，对于熟悉命令行程序的用户，obsutil是执行批量处理、自动化任务的好的选择。OBS上传文件指导，请参见《OBS工具指南》。 您可以通过以下多种方式将文件上传至桶，OBS最终将这些文件以对象的形式存储在桶中。 表1 不同访问方式上传对象的方法 访问方式 上传对象方法 控制台 通过控制台上传对象 OBS Browser+ 通过OBS Browser+上传对象 obsutil 通过obsutil上传对象 SDK 使用SDK上传对象，具体参考各语言开发指南的上传对象章节 API PUT上传、POST上传

步骤2：从OBS中将文件下载至Notebook 由于Notebook实例可以挂载OBS或EVS作为存储位置，针对不同的实例，请操作方式不同。 对于挂载EVS的Notebook实例下载文件 使用Moxing操作OBS文件将OBS中的文件同步到Notebook后进行操作。 读取一个OBS文件。例如读取“obs://bucket_name/obs_file.txt”文件内容，返回string（字符串类型）。 1 file_str = mox.file.read('obs://bucket_name/obs_file.txt') 也可以使用打开文件对象并读取的方式来实现，两者是等价的。 12 with mox.file.File('obs://bucket_name/obs_file.txt', 'r') as f: file_str = f.read() 使用ModelArts SDK的从OBS下载数据接口将OBS中的文件下载到Notebook后进行操作。 当单个文件大小超过5GB时，无法使用此方式上传。推荐使用MoXing接口上传大文件。 示例代码： 123 from modelarts.session import Sessionsession = Session()session.download_data(bucket_path="/bucket-name/dir1/sdk.txt", path="/home/user/sdk/obs.txt") 对于带OBS存储的Notebook实例下载文件 将文件上传至创建Notebook实例时指定的OBS路径，然后使用Sync OBS功能将OBS中的文件同步到Notebook即可。

编写文件 新建文件后，单击文件名称即可进入编写文件页面。 图4 编写文件 表1 编写文件页面介绍 区域 区域名称 详细说明 1 文件名称 您可以在此区域填写自定义的文件名称，修改保存后，对应的File列表也将发生变化。 2 菜单栏 菜单栏中有File、Edit、View、Insert、Cell、Kernel、Help等丰富功能。详细说明建议参考Jupyter Notebook使用文档，下方工具栏提供了常用的功能，能够满足常见的Python运行文件编写。 3 工具栏 工具栏罗列了支持的常用快捷操作，从左到右分别为：保存文件、添加新Cell、剪切选中的Cell、复制选中的Cell、粘贴选中的Cell、将选中Cell上移、将选中Cell下移、运行选中的Cell、终止kernel、重启kernel、重启kernel并重新运行所有Cell。 Code下拉框中有四个选项： Code：写Python代码 MarkDown：写MarkDown代码，通常用于注释 Raw NBConvert：转换工具 Heading：快捷添加MarkDown标题 4 AI引擎及Python版本 显示当前文件对应的AI引擎以及Python版本。请参见支持的AI引擎了解目前ModelArts支持的所有AI引擎和Python版本。 5 代码Cell 代码单元格。每一个Cell有两种模式：命令模式和编辑模式。 最左侧为蓝色条时，是命令模式，绿色条表示编辑模式（此时Cell中有光标，可以进行代码编写）。在命令模式下，按下“Enter”键或者鼠标单击代码框可以进入编辑模式。在编辑模式下，按下“ESC”键或者鼠标单击代码框左侧区域即可进入命令模式。

成分分析的开源漏洞文件路径如何查看？ 有多种方式可查看开源漏洞分析结果的文件路径： 方式一：进入报告详情页面，打开开源漏洞分析扫描结果，单击“组件名称”可查看包含组件的文件对象，鼠标放在相应“对象路径”，即可查看该对象路径，也可点击右侧按钮复制； 方式二：打开报告详情页面，单击“下载报告”，“生成PDF报告”，待文件生成后单击“导出PDF”下载报告至本地，查阅PDF报告中第3章节，即可查看相应组件文件路径； 方式三：打开报告详情页面，单击“下载报告”，“生成Excel报告”，待文件生成后单击“导出Excel”下载报告至本地，查阅Excel报告中“组件报告”或“漏洞报告”sheet页，即可查看相应组件文件路径。 对象路径以“/”标识目录结构，其中“_/”表示服务对该层文件进行解析，进而分析其子目录文件。比如：scrm-service-weixin.jar_/BOOT-INF/classes/libWeWorkFinanceSdk_Java.so，您可以对scrm-service-weixin.jar进行解压缩，查看其子目录BOOT-INF/classes/libWeWorkFinanceSdk_Java.so文件，进而分析该文件中开源软件是否存在或准确。 若文件有多个层级，则表示服务对父层级文件进行解析，进而分析子层级文件是否引用开源软件。对于方式一，多层级效果以换行缩进形式呈现，如下图所示；对于方式二或方式三，多层级路径以“:”连接展示。 父主题： 二进制成分分析类

如何启用团队标注 创建数据集时，打开“启用团队标注”开关，同时指定一个标注团队，或者指定标注管理员。 图1 创建数据集时启用 对于已创建，且未启用团队标注的数据集。可通过创建一个团队标注任务，直接启用团队标注功能。创建团队标注的操作详情请参见创建团队标注任务。 图2 在数据集列表中创建团队标注任务 图3 在数据集概览页中创建团队标注任务 图4 在数据集详情页创建团队标注任务 只有当创建团队标注任务时，标注人员才会收到邮件。创建标注团队及添加标注团队的成员并不会发送邮件。此外，当所有样本都是已标注状态时，创建团队标注任务也不会收到邮件。

成分分析的任务扫描失败怎么办？ 任务扫描失败可能由多种原因造成，需要针对具体情况进行分析，常见的失败原因如下： 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题，导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。 文件上传中损坏 文件在传送过程中损坏，导致无法正确解析。重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败，可联系服务运维团队。 若用户使用“按需套餐包”创建正式版任务，如果任务扫描失败，不会扣除套餐包配额；若用户使用免费版配额创建免费版任务，如果任务扫描失败，不会扣除免费版配额。 父主题： 二进制成分分析类

成分分析的扫描原理是什么，主要识别哪些风险？ 对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类： 开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。 信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项：支持检测包中二进制文件编译过程中相关选项是否存在风险。 图1 风险项 父主题： 二进制成分分析类

任务部分检测项有数值，但任务状态显示失败？ 如下图显示，任务检测结果中安全漏洞检测有告警，隐私合规问题数为0，任务状态为“失败”。 每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。 父主题： 移动应用安全类

扫描的隐私合规问题如何分析定位？ 针对扫描结果中的隐私合规问题告警，可以通过一下几个信息进行分析定位，并整改处理。 截图：在动态运行APP过程中，对部分涉及界面的合规问题进行截图举证，在最终扫描结果中提供截图展示，用户可根据截图进行告警分析。 调用栈：涉及收集个人数据类告警，包括第三方SDK收集，扫描结果中会提供代码调用栈信息，帮助应用开发人员快速查找问题点。 隐私申明片段：对于应用实际行为与隐私声明不一致的合规问题，扫描结果中会提取相应的隐私审批片段，能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。 相应政策规范：该项告警违反的哪些规范条目，在扫描报告中详细列举，用户可以针对性的进行分析整改。 父主题： 移动应用安全类

任务扫描超1小时仍然未结束？ 根据样本统计，单任务平均扫描耗时约1小时，扫描时长跟以下几个因素有关： 文件大小，文件越大扫描越耗时。 代码量，代码量越多扫描越耗时。 代码复杂程度，因为业务、代码实现的原因导致代码实现相对较复杂，调用链长，这些都会导致扫描耗时增加。 故部分应用扫描时长会高于平均耗时，如超过12小时仍未结束，可能是因为某些异常原因导致任务无法正常结束，我们会判定该类任务未超时，终止任务执行、设置任务状态为“超时”。 父主题： 移动应用安全类

成分分析的主要扫描规格有哪些？ 支持的编程语言类型：C/C++/Java/Go/JavaScript/Python。 支持的文件：.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件，及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。 支持上传的文件大小：不超过5GB。 平均扫描时间预估：根据不同的压缩格式或者文件类型扫描时长会有一定的差异，平均100MB/6min。 服务采用基于软件版本的方式检测漏洞，不支持补丁修复漏洞场景的检测。 父主题： 二进制成分分析类

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。 父主题： 移动应用安全类

成分分析的安全配置类问题如何分析？ 成分分析会检测用户包中一些安全配置项是否合规，主要如下： 用户上传的软件包/固件中存在的敏感文件，如（密钥文件，证书文件，源码文件, 调试工具等）。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统，则不涉及。 安全配置类检查问题分析指导： 导出PDF报告，搜索【安全配置检查概览】关键字，可以看到各检查项的结果，pass表示通过，failed表示未通过，NA表示不涉及（若无操作系统，则针对操作系统配置检查项为不涉及）。搜索【安全配置检查】关键字，可以查看具体每项的检查结果。 检查结果说明： 审视项：检查的方式/方法。 问题：存在问题的文件列表，若无问题则显示暂无问题。 建议值：针对检查出的问题给出的修改建议。 描述：审视项描述。 父主题： 二进制成分分析类

成分分析的信息泄露问题如何分析？ 成分分析基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中是否存在信息泄露类风险，如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险，可以通过查看导出报告中的告警详情，如PDF报告，可以在结果概览中确认是否有信息泄露风险。如果有，则可以查看相应信息泄露明细，每个告警都会包含以下几个说明，针对工具扫描出的风险清单，用户可以基于自身实际使用情况判断是否有信息泄露风险，如存在，则采取不同措施屏蔽或修改即可。 问题类型：IP泄露/硬编码密码/Git地址泄露等。 文件路径：发现信息泄露的文件在包中的全路径。 上下文内容：发现风险的文本行内容，包含风险内容和上下文内容。 匹配内容：实际发现的风险内容。 匹配位置：在文件中x行，x位置发现的信息泄露风险。 父主题： 二进制成分分析类

任务状态显示失败如何处理？ 任务扫描失败可能由多种原因造成，需要针对具体情况进行分析，常见的失败原因如下： 表1 常见失败原因分析 失败原因分析 解决方案 应用文件解析异常 应用文件本身存在不完整、结构异常等问题，导致服务无法正常解析。提供正确的应用文件重新创建扫描任务即可。 应用文件上传中损坏 应用文件在传送过程中损坏，导致无法正确解析，重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败，可联系 失败任务不会产生扣费，可重新创建任务进行扫描。 父主题： 移动应用安全类

成分分析的开源软件风险如何分析？ 成分分析基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中文件包含的开源软件清单，并分析是否存在已知漏洞、License合规等风险。用户扫描完成后，建议按照以下步骤进行分析排查： 开源软件分析，分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件，然后分析该文件中开源软件是否存在或准确（可由相关文件的开发或提供人员协助分析），如果否，则无需后续分析。 已知漏洞分析，分析已知漏洞是否准确。 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号，获取漏洞详情 概要分析：查看影响的软件范围，如CVE-2021-3711在NVD社区中的Known Affected Software Configurations，如下图，确认漏洞是否影响当前使用的软件版本，如果当前使用的软件版本不在影响范围内，则初步说明漏洞可能不涉及/影响。 精细化分析：漏洞通常存在于某些函数中，可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式，如下图，用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞 License合规分析。基于报告中开源软件及对应的License分析软件是否合规，满足公司或准入要求。 风险解决方式： 已知漏洞：如果当前使用的软件版本存在漏洞，可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。 License合规：如果使用的软件存在合规风险，则需要寻找相似功能且合规的开源软件进行替代。 父主题： 二进制成分分析类

二进制成分分析扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 概览 查看目标软件包的扫描漏洞数。 图4 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图5 查看结果概览信息 组件列表 查看软件的所有组件信息。 图6 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图7 查看漏洞列表信息 信息泄露问题列表 图8 查看信息泄露信息 安全编译选项问题列表 安全配置检查列表 图9 查看安全配置检查列表

相关术语说明 开源(open source) 即开放一类技术或一种产品的源代码，源数据，源资产，可以是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多个社会维度。 开源软件(open source software) 允许用户直接访问源代码，通过开源许可协议将其复制、修改、再发布的权利向公众开放的计算机软件。 开源组件(open source component) 是开源软件系统中最小可识别且本身不再包含另外组件的、组件信息可在公共网站获取且可独立分发、开发过程中带有版本号并且可组装的软件实体。 开源许可证(open source license) 开源软件的版权持有人授予用户可以学习、修改开源软件，并向任何人或为任何目的分发开源软件的权利。 软件成分分析(Software Composition Analysis) 通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件，目标文件，共享链接库和内核转储(core dumps)的标准文件格式。 APK(Android application package) 是Android操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 HAP(HarmonyOS application package) 是鸿蒙操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 CVSS(Common Vulnerability Scoring System) 通用漏洞评分系统，是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度，有CVSS 2.0、3.0、3.1标准。 固件(firmware) 是一种嵌入在硬件设备中的软件。 NVD National Vulnerability Database国家安全漏洞库。 CNVD China National Vulnerability Database国家信息安全漏洞共享平台。 CNNVD China National Vulnerability Database of Information Security国家信息安全漏洞库。 组件依赖 保证组件正确运行所依赖的必须加载的其他组件。 父主题： 二进制成分分析

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 包括基本信息、应用检测风险项汇总、漏洞风险项统计、漏洞风险检测项分布和检测情况汇总，如图2所示展示了检测汇总信息。 图2 检测情况汇总 应用漏洞检测 包括配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全和网络安全等，可以参考扫描出的漏洞详细信息修复漏洞，以配置安全为例，如图3所示。 图3 应用漏洞信息-配置安全 应用隐私合规检测 图4 应用隐私合规检测 应用权限信息检测 图5 应用权限信息 应用组件信息检测 查看软件的所有组件信息，包括Activity信息、Service信息、Provider信息和Receiver信息，以Activity信息为例，如图6所示。 图6 应用组件信息-Activity信息 移动应用安全评测依据 图7 移动应用安全评测信息

关于max_connections max_connections：允许同时连接的客户端总数。如果设定值为default，表示该参数和数据库实例的内存（单位：GB）相关，计算公式如下： max_connections上限估计数值 = 节点可用内存 / 单个连接预估占用内存。 节点可用内存=总内存 - Buffer Pool占用内存 - 1GB（mysqld进程/操作系统/监控程序等）。 单个连接预估占用内存（single_thread_memory） = thread_stack（256KB） + binlog_cache_size（32KB） + join_buffer_size（256KB） + sort_buffer_size（256KB） + read_buffer_size（128KB） + read_rnd_buffer_size（256KB）= 大约1MB。

使用 GaussDB (for MySQL)要注意些什么 实例的操作系统，对用户都不可见，这意味着，只允许用户使用应用程序访问数据库对应的IP地址和端口。 对象存储服务 （Object Storage Service，简称OBS）上的备份文件以及GaussDB(for MySQL)服务使用的弹性云服务器（Elastic Cloud Server，简称E CS ），都对用户不可见，它们只对GaussDB(for MySQL)服务的后台管理系统可见。 查看实例列表时请确保与购买实例选择的区域一致。 申请GaussDB(for MySQL)后，您还需要做什么。 申请GaussDB(for MySQL)实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： GaussDB(for MySQL) 实例的CPU、内存等资源是否足够，如果资源不足需及时变更规格。 GaussDB(for MySQL) 实例的数据存储空间是否足够，如资源不足需及时扩容。（超出时会自动扩容，但超出部分是按需收费，价格比自行扩容贵）。 GaussDB(for MySQL)实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 父主题： 产品咨询

客户端问题导致连接失败 客户端问题导致连接GaussDB(for MySQL)失败，可以从以下几个方面检查。 弹性云服务器的安全策略 对于Windows平台，可检查Windows的安全策略是否开放GaussDB(for MySQL)端口。对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 应用配置错误 常见的有连接地址写错、端口参数配置错误和JDBC等的连接参数配置错误。 用户名或密码错误 如果连接数据库时出现类似如下错误，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) [Warning] Access denied for user 'username'@'yourIp' (using password: YES) 如问题仍未解决，请联系售后技术支持。 父主题： 数据库连接

操作步骤 获取安装包。 在下载页面找到对应版本链接，以mysql-community-client-8.0.21-1.el6.x86_64为例，打开页面后，即可下载安装包。 图1 下载 通过红框所在的链接，可直接下载安装包。 将安装包上传到弹性云服务器。 创建弹性云服务器时，要选择操作系统，例如Redhat6.6，并为其绑定EIP（Elastic IP，弹性公网IP）。然后使用远程连接工具将安装包上传到弹性云服务器，再用PuTTY连接到弹性云服务器。 执行以下命令安装MySQL客户端。 sudo rpm -ivh mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中报conflicts，可增加replacefiles参数重新安装，如下： rpm -ivh --replacefiles mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中提示需要安装依赖包，可增加nodeps参数重新安装，如下： rpm -ivh --nodeps mysql-community-client-8.0.21-1.el6.x86_64.rpm

开启binlog对GaussDB(for MySQL)的性能影响 性能损耗和业务压力强相关，开启Binlog不会影响查询（SELECT）性能，只会影响写入更新（如INSERT、UPDATE、DELETE等）性能。 GaussDB(for MySQL)服务的binlog和开源的MySQL-binlog两者从使用方法上来说无明显差异，GaussDB(for MySQL)服务的binlog完全兼容开源MySQL的binlog相关语法。