CODING 制品仓库的扫描功能可以在不访问源代码的情况下,通过扫描二进制组件及其元数据,找寻组件中存在的漏洞。制品扫描功能支持与持续集成/持续部署模块相集成。您可以在方案中预设质量红线标准,杜绝问题组件发布至生产环境。同时,扫描方案还支持提供详细扫描记录和缺陷统计。
产品功能
扫描方案
用于规定扫描规则、质量红线,以及被执行扫描的制品包。扫描方案只能应用于当前项目内的制品仓库,每个扫描方案都有唯一的扫描 ID。扫描方案可以应用于当前项目下的任意仓库、任意制品包与任意制品版本。触发方式可以选择制品包更新时自动触发或选择制品版本手动触发。
扫描规则
用于规定扫描时关注的制品缺陷内容,可以指定关注的漏洞等级并设置漏洞白名单。
漏洞危险等级规则:
定义该扫描方案关注的漏洞危险等级。若不勾选低危等级,则所有低危等级的漏洞都不会被扫描出来,不计入漏洞统计。
漏洞白名单(仅安全扫描):
将具体的 CVE 漏洞编号纳入至白名单后,所有公共组件中如果存在该编号的 CVE 漏洞都不会被扫描;将具体所属依赖组件列入白名单后,该组件中的所有漏洞都不会被扫描。
质量红线
用于规定扫描结果是否通过的标准。您可以根据团队的安全需求定义红线标准,包括对漏洞、开源许可证等级和数量限制。
组成成分分析(SBOM)
目前仅针对 Generic、Maven、Docker、npm 类型制品提供分析功能。
组成成分分析(SBOM)功能可以帮助企业分析制品中的依赖组件,并提供各组件的版本、漏洞、license 统计等信息。与此同时,系统还会分析制品与依赖的关联关系,包括组件依赖的组件及组件所关联的制品,为软件供应链风险追溯和安全治理提供有效依据。
开源许可证风险
开发者在使用开源软件的过程中需注意许可证是否存在违规风险。制品扫描在执行漏洞扫描的同时也会对开源组件许可证进行扫描,展示许可证风险等级、来源、约束与关联组件等信息。
方案应用
单个扫描方案可以复用于各类型的制品仓库中的任意制品版本,触发方式支持制品包更新时自动触发与手动触发。
方案类型
扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型。移动端安装包质量检查方案由腾讯云安装包质量检查 IPT 提供主要能力。除了两种类型外,制品扫描还将继续拓展更多制品扫描能力。
安全漏洞扫描:
扫描制品及其依赖的公共组件中存在的安全漏洞。漏洞的定义采用 CVE 国际通用标准及评级;制品扫描采用的组件漏洞特征库由云鼎实验室维护,为腾讯安全提供超过 20 年的行业经验积累,由专门的安全运营团队实时更新。
支持以下类型制品仓库:Docker、Maven、npm、PyPI、Generic。
移动端安装包质量扫描:
对 Android / iOS 操作系统的安装包进行安装包大小、重复文件、图片等进行规范检查。
支持 Generic 类型制品仓库中 .ipa 和 .apk 格式的制品文件。
安全漏洞
漏洞的定义采用 CVE 国际通用标准定义,其危险等级遵循 CVSS 标准。CODING 制品扫描通过对制品及其依赖解析,暴露该制品存在的安全漏洞。漏洞信息包括 CVE 编号、引入依赖组件、危险等级及漏洞描述等。
漏洞的定义由 CVE 编号及其存在的公共组件共同决定。例如,我们在公共组件 Log4j 2.17 版本中,发现了编号为 CVE-2021-45105 的安全漏洞,则这条漏洞在扫描结果中会显示为:
CVE 编号:CVE-2021-45105
所属依赖:Log4j
引入版本:2.17
制品漏洞库
CODING 制品扫描采用腾讯安全漏洞特征库。
腾讯安全漏洞特征库是腾讯科恩实验室自研的、长期维护的商业化制品漏洞库。在漏洞信息方面,包含了国内外的开源漏洞库信息(包括:CVE、NVD、CNVD、 CNNVD 等)与腾讯自身发现的独有商业漏洞信息。腾讯安全团队对开源漏洞信息进行了误报校验与中文翻译,同时提供修复优先级与修复建议信息,扫描准确性行业领先。对于自身发现的独有商业漏洞信息,提供独有漏洞 ID、漏洞详情描述、漏洞修复建议等内容,涵盖漏洞基本信息。
对于私有化客户,我们提供了实时更新和离线更新两种更新方式。
实时更新
离线更新
在离线更新方面,也支持将漏洞库离线打包部署至企业内网,提供更新服务。
