文档首页/ 云商店/ 商家指南/ 发布通用商品/ 管理资产与安全测试/ SaaS类商品资产管理与安全测试
更新时间:2026-03-02 GMT+08:00
查看PDF
分享

SaaS类商品资产管理与安全测试

简介

  • 发布SaaS商品时,商家需要在资产中心创建SaaS资产,并将SaaS网站(包括业务前台,管理后台portal等)、接口地址等信息维护到资产中心;
  • 商家在资产维护的SaaS网站(包括业务前台,管理后台portal等)要经过云商店安全扫描,不能存在高危漏洞(如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等)。

    关于资产安全说明,请参考关于《华为云云商店商品安全标准3.0》上线通知

新增SaaS资产操作步骤

  1. 新增资产:进入卖家中心页面,单击左侧导航栏的“商品管理>我的资产”,单击页面右上角的“新增资产”。

  2. 选择资产类型:在选择资产类型窗口中,资产类别选择“SaaS资产”,根据提示选择其他信息,单击“确定”。

  3. 填写资产信息:根据页面提示填写“资产信息”,资产名称建议与SaaS软件名称保持一致或者相符。

  4. 添加SaaS应用域名/网站。

    • 如上架商品的SaaS应用域名已添加过安全扫描,请勾选即可;

    • 如上架的SaaS应用域名未添加过安全扫描,请参考如下步骤;
    1. 单击“添加应用域名/网站”。

    2. 填写扫描基本信息,单击“下一步”。

    3. 按验证步骤完成域名所有权认证,勾选“我已阅读并同意《华为云漏洞扫描服务声明》,单击“完成认证”。

    4. 填写网站设置信息,登录方式二选一,支持账密或cookie的登录方式,确认无误后单击“确认”。

    5. SaaS应用域名添加成功后,请勾选即可。

    6. 勾选商家自检项,单击“完成检测”。

  5. 添加技术对接信息:如无法选择接口地址,请先参考SaaS类商品技术对接方案 V2.0指南进行接口开发。

    • 基础接口地址:通用商品必须对接。

    • 账号同步接口地址:通用商品请选"否"。
    • 扩展参数(可选):扩展参数为客户下单时手动输入,请按需选择需要额外传递的参数。

    • 开通信息(可选):请选择商品开通时,SaaS接口需要接收的客户敏感信息(手机号&邮箱号&华为云IAM子账号信息)。

      自2025.10.25日起,新增SaaS资产不再支持接口传递华为云IAM子账号信息,存量的SaaS资产不受影响。

  6. 单击“提交审核”:进入安全测试审核阶段,并提交完成后可查看资产审核状态

查看资产审核状态

提交成功后,商家可在“商品管理>我的资产>申请列表”中,查看审核状态。
  • 当资产状态为“已通过”,说明此资产可用于发布SaaS商品,商家可进入3.8.2.4-发布SaaS类商品。
  • 当资产状态为“扫描中”,系统将按照云商店商品安全标准3.0对资产进行扫描,如有任何疑问可提交工单咨询客服。
  • 当资产状态为“已驳回”,请单击“详情”进入资产详情页面,下拉至“SaaS应用域名/网站”,下载查看“安全扫描报告”

    • 如安全问题已完成整改,单击“修改”,再次提交SaaS资产审核。
    • 如安全扫描存在误报,单击“申诉”,进入申诉页面。
      1. 请在下载的“安全扫描报告表格中的G、H、I列填写误报结论并保存。

      2. 单击“申诉举证材料”上传填写后的文件,在右下方单击“提交”,资产状态将变更为“审核中”,提交之后工作人员会在3个工作日内审核。

        如涉及多个SaaS域名申诉,请将多个误报文件打包成.zip格式上传。

      3. 申诉审核通过。

修改资产操作步骤

  1. 在“资产中心>我的资产”页面,搜索需要修改的资产,单击操作列的“修改”,进入“修改资产”页面。

  2. 在“修改资产”页面中,选择您需要变更的信息后,单击“提交审核”。

    SaaS资产扫描结果只有30天有效期,如扫描通过的时间超过有效期,则需要手动触发“重新扫描”。

删除资产操作步骤

未关联商品的SaaS资产及草稿箱中的资产可以被删除。

在资产中心页面,单击需要删除的资产操作列“删除”按钮,确认删除即可。

相关文档