成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。
针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,在结果概览中确认是否有信息泄露风险。如果有,则查看相应信息泄露明细,信息泄露问题列表说明如图表1。针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。
表1 信息泄露问题列表说明
|
告警项 |
告警说明 |
|
文件路径 |
发现信息泄露的文件在包中的全路径。 |
|
上下文内容 |
发现风险的文本行内容,包含风险内容和上下文内容。 |
|
匹配内容 |
实际发现的风险内容。 |
|
匹配位置 |
在文件中x行,x位置发现的信息泄露风险。 |
