开源治理服务 CodeArts Governance
开源治理服务 CodeArts Governance
- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
-
常见问题
-
二进制成分分析类
- 成分分析的扫描对象是什么?
- 成分分析的主要扫描规格有哪些?
- 成分分析的扫描原理是什么,主要识别哪些风险?
- 成分分析的开源软件风险如何分析?
- 成分分析的安全编译选项类问题如何分析?
- 成分分析的安全配置类问题如何分析?
- 成分分析的信息泄露问题如何分析?
- 组件版本为什么没有被识别出来或识别错误?
- 成分分析的资源包为什么购买失败了?
- 成分分析的开源漏洞文件路径如何查看?
- 成分分析的任务扫描失败怎么办?
- 扫描到恶意代码如何定位?
- 如何解决Roles with READONLY_USER或其他角色权限报错问题?
- 如何查看用户组是否具有Tenant Administrator或VSS Administrator权限,及如何对用户组进行授权?
-
二进制成分分析类
- 文档下载
- 通用参考
本文导读
展开导读
链接复制成功!
成分分析的信息泄露问题如何分析?
成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。
针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。
- 问题类型:IP泄露/硬编码密码/Git地址泄露等。
- 文件路径:发现信息泄露的文件在包中的全路径。
- 上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。
- 匹配内容:实际发现的风险内容。
- 匹配位置:在文件中x行,x位置发现的信息泄露风险。
父主题: 二进制成分分析类