为什么选择华为二进制成分分析检测

为什么选择华为二进制成分分析

华为二进制成分分析对用户提供的二进制软件包及固件进行扫描,通过解压以及文件成分分析,识别包中的开源软件合规性及已知漏洞、敏感信息泄露、安全配置等风险,并提供全面直观的风险报告及解决方案。

安全合规:不依赖源码即可检测,规避企业、行业针对于源码不能外传的合规性问题。

检测能力全:支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。

支持对象多:支持Linux/Windows安装包、Web部署包、安卓/鸿蒙/IOS应用、IoT固件等多种类型文件上传扫描。

能力更新快:针对新风险响应迅速,从解读到落地调整检测规则到发布上线,按天更新推进。

报告全面专业:提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。

二进制成分分析用户指南

二进制成分分析用户指南

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

一、快速购买二进制成分分析

  • 收起 展开
    操作场景 收起 展开

    该任务指导用户首次使用漏洞管理服务(二进制成分分析)时,如何购买漏洞管理服务(二进制成分分析)的专业版扫描功能。

    须知:

    不支持多个版本同时存在。如果是老客户,已购买的版本下存在基础版和专业版,基础版全部免费升级为专业版,版本到期时间以订单到期时间最长的为准。

    购买漏洞管理服务或配额后,不支持直接修改配额,仅支持升级规格,请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号(拥有VSS Administrator与BSS Administrator权限)与密码。

    了解详情
  • 收起 展开
    购买步骤 收起 展开

    1.登录管理控制台。

    2.在页面上方选择区域或项目后,单击,选择“安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理界面。

    说明:首次使用漏洞管理服务,您可以在页面左侧,单击“立即购买”,进入漏洞管理服务购买页面。

    -如果您已经体验了漏洞管理服务基础版,请在页面的右上角,单击“升级规格”,进入漏洞管理服务购买页面。

    3.在购买漏洞管理服务界面,进行服务选型配置。

    4.确认订单详情无误并阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”,单击“去支付”。如果订单填写有误,用户可以单击“上一页”,回到服务选型页面修改配置信息后再继续购买。

    5.在“付款”页面,选择付款方式进行付款。

    了解详情

二、二进制成分分析任务添加

  • 收起 展开
    前提条件 收起 展开

    -已获取管理控制台的登录帐号与密码。

    -本地已准备好待扫描的二进制软件包。



    了解详情
  • 收起 展开
    操作步骤 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击二进制成分分析。

    4.在“二进制成分分析”页面,单击“添加任务”,在弹出的对话框中,单击“添加文件”选择本地的软件包,导入扫描对象,如图1所示。

    图1 添加扫描对象

    说明:

    -支持上传.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

    -当前仅提供正式版按需套餐扫描计费模式。

    5.单击“确定”,开始扫描。

    了解详情

三、二进制成分分析任务管理

  • 收起 展开
    操作场景 收起 展开

    该任务指导用户通过漏洞扫描服务查找、删除或停止正在扫描的成分分析任务。

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号与密码。


    了解详情
  • 收起 展开
    查看任务 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击二进制成分分析。

    4.在“二进制成分分析”页面,查看成分分析任务列表,相关参数说明如图1所示。

    图1 成分分析任务列表

    表1 成分分析任务列表参数说明

    5.在下拉框下拉选择任务状态,可根据任务状态筛选查看任务。

    6.在输入框中输入文件名关键字或任务描述,可根据文件名关键字或任务描述筛选查看,可以和任务状态联合使用。


    7.单击刷新任务列表。


    了解详情

四、二进制成分分析查看扫描详情

  • 收起 展开
    前提条件 收起 展开

    -已获取管理控制台的登录帐号与密码。

    -已执行扫描任务。


    了解详情
  • 收起 展开
    操作步骤 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击二进制成分分析。

    4.在“二进制成分分析”页面,可看到全部添加过的任务。

    5.单击对应任务操作列的“报告”,如图1所示。

    说明:单击“任务名称”也可以进入扫描报告页面。

    图1 进入成分分析扫描报告入口

    6.进入扫描报告查看页面,各栏目说明如表1所示。

    说明:当扫描任务成功完成后,单击右上角的“生成PDF报告”或“生成Excel报告”,生成扫描报告后,单击右上角的“导出PDF”,可以下载报告。

    表1 详情总览说明


    7.在“开源漏洞分析”页签查看软件包的每个组件的漏洞。

    说明:如果检测结果存在漏洞或者风险,可单击“组件名称”列,查看详细信息。

    -单击“对象路径”,可以查看文件对象路径详细信息。

    -单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。

    8.在“安全配置”页签查看凭据管理、认证问题和会话管理对应检测项目的检测结果。

    图2 安全配置检查结果

    9.在“密钥和信息泄露”页签查看对应检测项目的检测结果。

    图3 密钥和信息泄露检测结果

    了解详情

五、二进制成分分析下载扫描报告

  • 收起 展开
    操作场景 收起 展开

    扫描任务成功完成后,您可以下载任务报告,报告目前只支持PDF格式。

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号与密码。


    了解详情
  • 收起 展开
    查看任务 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击二进制成分分析。

    4.在“二进制成分分析”页面,可看到全部添加过的任务。

    5.单击对应任务操作列的“报告”。

    说明:单击“任务名称”也可以进入下载报告页面。

    图1 进入成分分析扫描报告入口

    6.单击右上角的“生成PDF报告”或“生成Excel报告”。

    图2 生成扫描报告

    7.扫描报告生成完成后,单击右上角的“导出PDF”,可以下载报告。

    图3 下载扫描报告

    说明:生成的扫描报告会在12小时后过期。过期后,若需要下载扫描报告,请再次单击“生成PDF报告”或“生成Excel报告”,重新生成扫描报告。




    了解详情
  • 收起 展开
    报告模板 收起 展开

    下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板主要内容说明如下:(以下截图中的数据仅供参考,请以实际扫描报告为准)

    查看目标软件包的扫描漏洞数。

    统计漏洞类型及分布情况。

    查看软件的所有组件信息。

    了解详情

二进制成分分析套餐包

二进制成分分析套餐包

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

二进制成分分析的常见问题

二进制成分分析的常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

  • 二进制成分分析的扫描对象是什么?

    ▶二进制成分分析的漏洞扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。

  • 二进制成分分析的主要漏洞扫描规格有哪些?

    ▶二进制漏洞扫描支持的编程语言类型:C/C++/Java/Go/JavaScript/Python。

    二进制漏洞扫描支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

    二进制漏洞扫描支持上传的文件大小:不超过5GB。

    二进制漏洞扫描平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。

    二进制漏洞扫描服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。

  • 二进制成分分析的漏洞扫描原理是什么,主要识别哪些风险?

    对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:

    -开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。

    -安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。

    -信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。图1 风险项


  • 二进制成分分析的开源软件风险如何分析?

    二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查:

    1. 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
    2. 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确(可由相关文件的开发或提供人员协助分析),如果否,则无需后续分析。
    3. 已知漏洞扫描分析,分析已知漏洞是否准确。
    4. 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号,获取漏洞扫描详情
    5. 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
    6. 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
    7. License合规分析。基于报告中开源软件及对应的License分析软件是否合规,满足公司或准入要求。
    8. 风险解决方式:
    9. 已知漏洞:如果当前使用的软件版本存在漏洞,可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
    10. License合规:如果使用的软件存在合规风险,则需要寻找相似功能且合规的开源软件进行替代。


  • 二进制成分分析漏洞扫描的安全配置类问题如何分析?

    1.二进制成分分析漏洞扫描会检测用户包中一些安全配置项是否合规,主要如下:

    -用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。

    -用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。

    2.二进制安全配置类检查问题分析指导:

    导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。

    检查结果说明:

    -审视项:检查的方式/方法。

    -问题:存在问题的文件列表,若无问题则显示暂无问题。

    -建议值:针对检查出的问题给出的修改建议。

    -描述:审视项描述。



  • 二进制成分分析漏洞扫描的信息泄露问题如何分析?

    二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。

    针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF漏洞扫描报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。

    -问题类型:IP泄露/硬编码密码/Git地址泄露等。

    -文件路径:发现信息泄露的文件在包中的全路径。

    -上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。

    -匹配内容:实际发现的风险内容。

    -匹配位置:在文件中x行,x位置发现的信息泄露风险。


漏洞扫描工具(二进制成分分析)必看文档

  • 漏洞管理服务(二进制成分分析)的功能特性

    漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

    漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

  • 漏洞管理服务(二进制成分分析)的规格差异

    漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

  • 漏洞管理服务(二进制成分分析)的使用约束

    漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。

    漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。

  • 漏洞扫描工具(二进制成分分析)计费说明

    本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。漏洞管理服务根据您的漏洞管理服务服务版本,扫描配额包的个数和购买时长计费。漏洞管理服务提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

    本小节主要介绍漏洞扫描服务的计费说明,包括计费项、计费模式、续费等。VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

  • 漏洞管理服务(二进制成分分析)个人数据保护机制

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,漏洞管理服务通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,VSS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

  • 漏洞管理服务(二进制成分分析)权限管理

    如果需要对华为云上购买的漏洞管理服务资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

    如果需要对华为云上购买的VSS资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

  • 漏洞管理服务(二进制成分分析)与其他服务的关系

    统一身份认证服务为漏洞管理服务提供了权限管理的功能。需要拥有漏洞管理服务 Administrator权限的用户才能使用漏洞管理服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

    统一身份认证服务为VSS提供了权限管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

  • 如何使用漏洞管理服务(二进制成分分析)

    漏洞管理服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

  • 漏洞管理服务api基本概念

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。