下载二进制成分分析扫描报告

前提条件

已添加二进制成分分析任务，且任务状态为“已完成”。

下载扫描报告

登录开源治理服务控制台。
在左侧导航栏，选择“软件成分分析 > 二进制成分分析”。
单击对应任务的任务名称，也可以单击任务列表操作列的“查看报告”，进入扫描报告页面查看报告。
在扫描报告页面，单击右上角的“下载报告”，选择生成报告的格式，可以生成更详细的扫描报告。
- 生成PDF报告：生成PDF格式的扫描报告。
- 生成Excel报告：生成Excel格式的扫描报告。
- 生成SBOM报告（CycloneDX）：生成CycloneDX格式的扫描报告。报告下载后，支持导入CodeArts SBOM服务进行解析。
- 生成SBOM报告（SPDX）：生成SPDX格式的扫描报告。报告下载后，支持导入CodeArts SBOM服务进行解析。
  CycloneDX和SPDX都是用于软件物料清单（Software Bill of Materials，SBOM）的标准化格式，旨在帮助组织更好地管理和理解软件供应链中的组件。
  - CycloneDX：相对简单和轻量级，易于理解和实现。它专注于提供基本的组件信息和依赖关系，适合快速集成到现有的开发流程中。
  - SPDX：更加复杂和灵活，提供了更多的元数据字段和扩展选项。它支持更详细的文件级别信息，适合需要更全面和详细SBOM的组织。
扫描报告生成完成后，单击右上角的“下载报告”，选择导出报告的格式，下载扫描报告。

下载的PDF报告和Excel报告主要包含任务概览、结果概览、组件列表、漏洞列表、密钥和信息泄露问题列表、安全编译选项问题列表、安全配置列表、恶意软件扫描问题列表。

生成的扫描报告会在12小时后过期。过期后，若需要下载扫描报告，请再次单击生成报告，重新生成扫描报告。

二进制成分分析扫描报告模板说明

下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如表1。

表1 下载扫描报告说明
报告章节	报告内容说明
概览	统计目标软件包检测出的漏洞总数。
结果概览	漏洞概览：统计漏洞类型及分布情况。组件概览：统计组件数量及组件漏洞分布情况。开源许可证概览：统计开源许可证的分布情况。密钥和信息泄露概览：统计密钥和信息泄露的问题分布情况。安全编译选项概览：统计安全编译选项的问题分布情况。安全配置概览：统计安全配置的问题分布情况。恶意软件扫描概览：统计恶意软件的问题分布情况。
组件列表	展示软件的所有组件信息，包含组件的名称、版本、发布日期、开源许可证和文件路径。
漏洞列表	展示漏洞的详细信息，您可以参考每个组件扫描出的漏洞详细信息修复漏洞。
密钥和信息泄露问题列表	展示密钥和信息泄露问题的详细信息，包含Git地址、IP、硬编码密码、弱口令、硬编码密钥和SVN地址。
安全编译选项问题列表	展示安全编译选项问题的详细信息，例如BIND_NOW、NX、PIC等。
安全配置检查列表	展示安全配置的详细信息，例如预置账号信息、sudo高风险命令、组成员信息等。
恶意软件扫描问题列表	展示恶意软件的详细信息，包含病毒扫描和恶意代码扫描。