文档首页/ 云商店/ 商家指南/ 发布通用商品/ 设置商品相关信息/ 提供商品安全洞察
更新时间:2026-03-02 GMT+08:00
查看PDF
分享

提供商品安全洞察

商品安全洞察是云商店面向用户提供的商品风险评估工具,商家可通过该报告整合产品的安全与合规信息,并与用户共享,帮助用户高效筛选符合行业标准的解决方案。

当前商品安全洞察报告仅支持SaaS、License、镜像类商品。

支持类型

平台支持商家上传以下三类报告文件,来帮助用户快速筛选符合行业标准的解决方案商品。

安全合规证书类型

证书类型

含义

作用

三方证书或报告

网络安全等级保护测评

由公安部认证的机构对信息系统安全等级保护状况进行检测评估的活动

对信息系统进行定级、备案、建设/生产/运营符合性、测评、监督检查,保障信息系统安全稳定运行。

ITSS

由中国电子信息行业联合会制定的信息技术服务管理的标准体系

实现标准化服务交付,提升运维效率并降低风险。

DCMM

由中国信息通信研究院(CAICT)制定用于评估和规范数据管理能力的国家标准(GB/T 38339-2020)

满足日益严格的数据安全、隐私保护(如 GDPR、《个人信息保护法》)等相关法规要求。

CCRC

由公安部第三研究所运营的国家级权威信息安全产品和系统安全服务的指定认证机构和测评中心

对信息安全产品(如防火墙、入侵检测系统、加密设备、防病毒软件等)的安全性、可靠性进行测试和认证,颁发《信息安全产品认证证书》。

ISO27001

由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全管理的国际标准

保护其核心信息资产(包括商业秘密、客户数据、财务信息、知识产权等)的安全。

ISO27701

由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全管理体系(ISMS)扩展标准

确保组织处理个人隐私信息的方式符合相关法律法规(如中国的《个人信息保护法》、欧盟的《通用数据保护条例》GDPR)的要求,并保护个人的隐私权。

CSA STAR

由云安全联盟(Cloud Security Alliance, CSA) 开发的一个全球性的、独立的云安全认证计划

帮助云服务提供商或云安全消费者(用户)证明其在云安全方面的投入和能力,验证其安全控制措施是否到位。

SOC2

是由美国注册会计师协会 (AICPA) 发布的一项 独立审计报告

证明服务提供商的系统在特定的安全和可靠性方面(如安全性、可用性、机密性等)的控制是有效的,满足合规需求。

ISO 20000-1

是专门针对IT服务管理(ITSM)的国际标准。它定义了IT服务提供者(包括内部IT部门或外包服务提供商)管理其服务以满足业务需求和客户期望的最佳实践框架。

通过服务标准化、明确SLA提升客户满意度,并系统化管理风险(如数据安全、系统故障),确保IT服务高效可靠。

ISO 9001

是最广泛使用的质量管理体系标准之一。它规定了组织(无论是提供服务的还是生产产品的)建立、实施、维护和持续改进质量管理体系的要求。

证明组织有能力稳定地提供满足客户需求和相关方需求的产品/服务。并通过持续改进机制,不断提高交付给顾客的产品或服务的质量。

TL 9000

是一个专门为电信行业设计的质量管理体系标准。它基于 ISO 9001,但针对电信行业的特定需求(如产品性能、服务可用性、客户满意度、技术复杂性等)进行了扩展和细化。

通过提供适用于电信行业的独特框架、量化指标(如故障率、响应时间)评估服务/产品质量,并规范供应链中供应商和合作伙伴的质量要求,满足电信行业特定需求并优化整体服务效能。

华为云商店测试报告

SaaS安全扫描

由云商店上架关联SaaS网站的Web扫描报告

证明商品不包含CVSS评分≥7.0的高风险级别的漏洞和病毒,符合上架云商店安全标准3.0。

商家自测试报告

/

/

/
  • 商家完成配置商品安全洞察后,默认自动授权平台可实时动态检测该商品的安全状态,平台检测5类场景如下:

检测场景

检测来源

检查项

基础设施与集群安全

HSS

主机防护、业务集群安全

操作系统安全

操作系统漏洞、操作系统基线合规、口令复杂度策略检测

容器安全

容器漏洞、容器配置安全

中间件安全

弱口令安全、云安全实践、应用防护、应用基线合规

web安全

病毒防护、开源漏洞、口令安全、网站漏洞

如您的证书类型未在当前支持列表中,请发送邮件至partner@huaweicloud.com联系我们,我们将评估补充支持范围并尽快处理。

创建安全配置文件

  1. 进入页面:登录“卖家中心 > 商品管理 > 商品安全洞察”,单击创建安全配置文件。

  2. 选择商品:通过接入类型或关键词搜索筛选目标商品,选中后单击确认。

  3. 授权委托服务(SaaS类首次):SaaS类首次上传需要授权云商店委托服务,License、镜像类可直接进入下一步。

    1. 首次使用时,系统会弹窗提示授权华为云云服务,单击“确认”。

    1. 授权云服务检测信息详情页面,单击“下一步”。

    2. 选择授权给云商店的云服务区域“cn-north-7”,单击“确认授权”。

    3. 授权成功后,单击“立即创建安全配置文件”,进入商品安全洞察的发布流程。

  4. 填写信息:填写“安全配置文件名称、描述”。

  5. 上传检测报告(可选)

    • 三方证书或报告:单击“创建证书”,上传三方证书或报告,支持上传证书类型“等保、ITSS、DCMM、CCRC、ISO27001、ISO27701、CSA STAR、SOC2、ISO 20000-1、ISO 9001、TL 9000”。

    • 华为云商店测试报告:无需手动补充,系统会自动读取该SaaS商品的云商店安全扫描报告。

    • 商家自测试报告:单击“上传测试报告”,将测试报告文件或证书上传。

  6. 基础安全合规授权:基础安全合规自动授权获取,如检测结果“不涉及”或“无数据”,请忽略。如检测结果不通过,请参考“操作”列的解决方案进行处理。

  7. 提交审核:按需补充相关证书后,单击“提交审核”,提交之后工作人员会在3个工作日内审核。
  8. 标签展示:审核通过后,关联的商品详情页将展示上传相关证书的标签。

更新商品安全配置文件

  1. 进入页面:登录“云商店 > 商品管理 > 商品安全洞察”,单击“更多>修改”。

  2. 选择更新内容:选择需要更新的内容,支持为:描述、三方证书或报告、商家自测试报告。

  3. 提交审核:单击“提交审核”,提交之后工作人员会在3个工作日内审核。

失效商品安全配置文件

  1. 进入页面:登录“云商店 > 商品管理 > 商品安全洞察”,单击“更多>失效”。

  2. 确认文件:确认失效安全配置文件

    • 配置文件失效后,关联的商品详情页将不再展示上传相关证书的标签。
    • 配置文件失效后,已申请查看的用户不受影响。

审核用户查看申请

  1. 进入页面:登录“云商店 > 商品管理 > 商品安全洞察”,单击“客户访问管理”。

  2. 查看用户申请:单击“审核”按钮,查看用户预留的信息:公司名称、联系人、联系方式、申请目的,用于评估用户申请的用途。

  3. 审核用户申请:根据评估的结果,单击“通过”或者“驳回”。

    • 商家需要在3日内完成审核。
    • 如用户填写申请目的无法评估用途的合理性,请及时与用户联系沟通。

相关文档