文档首页/ 云商店/ 商家指南/ 发布联营商品/ 完成技术对接/ 联营SaaS类商品联营KIT与技术对接方案/ 联营SaaS类商品联营KIT与技术对接方案 V1.0/ SaaS类商品资产管理与安全测试
更新时间:2026-05-26 GMT+08:00
查看PDF
分享

SaaS类商品资产管理与安全测试

为便于商家统一管理软件资产,云商店构建了资产中心平台,商家可以在资产中心进行新增资产、修改资产、删除资产等操作。

在资产中心添加的SaaS资产将用于后续SaaS商用软件发布,商家发布SaaS资产前请确认完成 SaaS接口的开发与调试、SaaS网站(包括业务前台,管理后台portal等)不存在高危漏洞(如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等)。

关于资产安全说明,请参考关于《华为云云商店商品安全标准3.0》上线通知

新增SaaS资产操作步骤

  1. 新增资产:进入卖家中心页面,单击左侧导航栏的“商品管理>我的资产”,单击页面右上角的“新增资产”。

  2. 选择资产类型:在选择资产类型窗口中,资产类别选择“SaaS资产”,根据提示选择其他信息,单击“确定”。

  3. 填写资产信息:根据页面提示填写“资产信息”,资产名称建议与SaaS软件名称保持一致或者相符。

  4. 添加SaaS应用域名/网站:

    • 如上架商品的SaaS应用域名已添加过安全扫描,请勾选即可;

    • 如上架的SaaS应用域名未添加过安全扫描,请参考如下步骤;
    1. 单击“添加应用域名/网站”。

    2. 填写扫描基本信息,单击“下一步”。

    3. 按验证步骤完成域名所有权认证,详情参考:域名所有权认证

    4. 填写网站设置信息,登录方式三选一,支持账密、cookie、Header的登录方式,确认无误后单击“确认”。

    5. SaaS应用域名添加成功后,请勾选即可。

    6. 勾选商家自检项,单击“完成检测”。

  5. 添加技术对接信息:如无法选择接口地址,请先参考联营SaaS类商品联营KIT与技术对接方案 V2.0指南进行接口开发。

    • 基础接口地址:联营商品必须对接。

    • 账号同步接口地址:联营商品必须对接。

    • 扩展参数(可选):扩展参数为客户下单时手动输入,请按需选择需要额外传递的参数。

    • 开通信息(可选):请选择商品开通时,SaaS接口需要接收的客户敏感信息(手机号&邮箱号&华为云IAM子账号信息)。

      自2025.10.25日起,新增SaaS资产不再支持接口传递华为云IAM子账号信息,存量的SaaS资产不受影响。

  6. 添加应用信息:该应用信息在集成联营统一账号登录均会使用,具体操作步骤如下:

    1. 单击添加应用信息。

    2. 添加应用信息后,单击“提交”。

      • 支持多实例绑定:同一个商品的多个订单可以绑定同一个联营企业,请选择“是”。
      • 回调地址类型:① 共享域名:不同客户/租户使用相同域名登录;② 独立域名:不同客户/租户使用不同域名登录
      • 公钥参数是商家根据云商店规范要求自行生成的公钥私钥对,用于数据加密传输,此处将公钥上传用于加密同步信息私钥由商家服务器自行保管,规范采用:RSA加密(密钥长度>=3072bit,填充方式OAEP),可参考网站:
      • 支持使用平台:选择集成联营kit后,分发到其它平台端使用(如有需求,请联系云商店运营添加白名单),系统默认不展示。

        ① Welink开放平台

        ② 工业软件云(工业软件SaaS服务中心)

  7. 提交审核:提交完成后可查看资产审核状态

域名所有权认证

  • 在安全扫描流程中开展域名所有权认证,核心是为了确保扫描对象的合法性、准确性与安全性。通过验证域名所有权,可确认执行扫描的主体具备对应域名的管理权限,避免恶意主体利用云商店扫描工具对他人域名发起非法探测、窃取敏感信息;
  • 云商店安全扫描的域名所有权认证支持两种方式:手动DNS验证、文件验证,详细操作如下

手动DNS验证

手动DNS验证的域名解析只能在您的域名管理平台上进行操作,具体的解析方法以域名服务商提供的解析方法为准,以下为华为云域名管理平台为例。

  1. 复制云商店安全扫描生成的“主机记录”、“记录值”;

  2. 登录华为云云解析服务 DNS,选择您需要扫描的域名;

  3. 点击添加记录集按钮,记录类型选择TXT,将云商店生成的主机记录输入_dnsauth、记录值按照下图所示填写后,点击确认;

  4. 返回云商店域名所有权认证的配置页面,点击验证配置按钮。

  5. 验验证状态为验证成功时,点击下方【完成认证】按钮进行认证,认证通过后仅代表完成域名所有权归属确认,请遵照4.c 流程继续后续操作。

文件验证

  1. 点击下载认证文件,将认证文件下载到本地;

  2. 将下载的认证文件上传到网站根目录,请勿修改文件名称和内容;
  3. 点击访问,确认能从公网访问该文件内容;

  4. 点击下方【完成认证】按钮进行认证,认证通过后仅代表完成域名所有权归属确认,请遵照4.c 流程继续后续操作。

    如出现文件验证失败,请从以下几方面进行排查和处理:

    • 确保该验证域名地址在公网能正确访问;
    • 不要复制认证文件的内容上传到网站根目录;
    • 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。

      您可使用wget -SURL地址命令检测该验证URL地址是否存在跳转。

查看资产审核状态

提交成功后,商家可在“商品管理>我的资产>申请列表”中,查看审核状态。
  • 当资产状态为“已通过”,说明此资产可用于发布SaaS商品,商家可进入发布SaaS类联营商品
  • 当资产状态为“扫描中”,系统将按照云商店商品安全标准3.0对资产进行扫描,如有任何疑问可提交工单咨询客服。
  • 当资产状态为“已驳回”,请单击“详情”进入资产详情页面,下拉至“SaaS应用域名/网站”,下载查看“安全扫描报告”

    • 如安全问题已完成整改,单击“修改”,再次提交SaaS资产审核。
    • 如安全扫描存在误报,单击“申诉”,进入申诉页面。
      1. 请在下载的“安全扫描报告表格中的G、H、I列填写误报结论并保存。

      2. 单击“申诉举证材料”上传填写后的文件,在右下方单击“提交”,资产状态将变更为“审核中”,提交之后工作人员会在3个工作日内审核。

        如涉及多个SaaS域名申诉,请将多个误报文件打包成.zip格式上传。

      3. 申诉审核通过。

修改资产操作步骤

  1. 进入修改页面:在“资产中心>我的资产”页面,搜索需要修改的资产,单击操作列的“修改”,进入“修改资产”页面。

  2. 提交审核:在“修改资产”页面中,选择您需要变更的信息后,单击“提交审核”。

    SaaS资产扫描结果只有30天有效期,如扫描通过的时间超过有效期,则需要手动触发“重新扫描”。

删除资产操作步骤

未关联商品的SaaS资产及草稿箱中的资产可以被删除。

在资产中心页面,单击需要删除的资产操作列“删除”按钮,确认删除即可。

应用信息管理

  • 申请统一登录测试账号
    1. 在“资产中心>我的资产”页面,搜索需要修改的资产,单击操作列的“应用管理”,进入“资产详细”页面。

    2. 单击“申请测试账号”按钮。

    3. 通过测试账号的信息,进行联营账号统一登录开发和验证,登录接口详情参考联营账号统一登录接入

    4. 登录成功,则测试账号登录流程完成。
  • 独立域名设置回调地址
    1. 在“资产中心>我的资产”页面,搜索需要修改的资产,单击操作列的“应用管理”,进入“资产详细”页面。

    2. 单击“登录设置”按钮,进入订单列表页。

    3. 选择您需要配置的订单,单击“登录设置”。

    4. 填写回调地址后,单击“提交”即可生效。

  • 联营账号敏感信息授权。
    1. 在“资产中心>我的资产”页面,搜索需要修改的资产,单击操作列的“应用管理”,进入“资产详细”页面。

    2. 单击“授权权限”按钮。

    3. 单击“申请权限”按钮。

    4. 勾选需要统一账号登录时获取的敏感信息。

相关文档