本文以示例制品 fastjson 作为扫描对象,若项目内已有制品,可以直接进行扫描。
1. 创建扫描方案
前往制品管理 > 制品扫描,点击左上角的蓝色 + 号创建一个新的扫描方案,输入扫描方案名称、描述、扫描规则和质量红线标准,即可完成创建。
方案类型
扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型;使用安全漏洞扫描类型能够筛选漏洞等级与 CVE 漏洞白名单。移动端安装包质量检查方案由腾讯云安装包质量检查 IPT 提供主要能力。
扫描规则
扫描规则决定了该扫描方案中能够被检查出来的漏洞。若仅勾选了高危的漏洞等级,则其他等级的漏洞将不会被统计,即使存在高于高危等级的漏洞也不会被纳入检查。
CVE 漏洞白名单
用于在扫描过程中忽略特定类型的漏洞。您可以给某种类型的漏洞定义一个 CVE 漏洞编号并在白名单处填写,若制品存在 CVE-2020-9794 类型的漏洞则不会被纳入统计范围,单击查看 CVE 漏洞收录。
说明:
在扫描过程中,漏洞扫描仅会在扫描规则中勾选的等级范围中进行,其他等级均会被过滤,然后才会判断 CVE 漏洞白名单中规定的具体漏洞编号。例如用户在漏洞扫描中只选择了危急的漏洞等级,而又在 CVE 漏洞白名单中填入了一个低危等级的漏洞,此等级的漏洞会被忽略。
高级选项
在高级配置中可以自动禁止未扫描完成或存在质量问题的制品被下载,防止存在漏洞的制品被意外使用。
2. 编辑扫描方案
对于已创建的扫描方案,单击右上角的设置或规则配置进入设置页面。
您可以在此处编辑方案名称或描述、查看重新勾选扫描规则中的漏洞等级和质量红线标准。
3. 触发扫描方案
扫描方案支持自动与手动两种触发方式。
自动扫描
单击右上角的 ···,进入方案应用页,您可以在此处配置自动触发扫描方案。
打开自动扫描开关后,当前方案所应用的制品仓库有更新时将自动触发扫描。扫描筛选默认为全部,即任一制品仓库有更新时会自动触发此扫描方案。
勾选按条件筛选后可以为扫描方案设置应用范围与触发条件。例如下图,当 pypi-go 和 write-go 制品仓库有任何制品更新时就会自动触发该扫描方案。
您还可以对扫描方案添加更加细致的制品筛选条件,如下图当 test 制品的 release 版本有更新时,将对此制品单独进行扫描。
手动扫描
有三种手动触发扫描的方式:触发单个扫描方案、批量触发制品扫描与在持续集成流水线中添加制品扫描。
单击扫描方案右上角的批量扫描可以在全部制品仓库中执行扫描,或设置扫描范围与扫描筛选条件。
在持续集成流水线中也支持手动添加制品扫描单元。
4. 分析扫描结果
图标标识
各标示结果的图标意义:
将鼠标移至标示处将会弹窗扫描结果。
查看扫描结果
进入扫描方案详情,您可以看到该扫描方案被应用的所有历史累计数据和扫描记录。
开源许可证风险
单击开源许可证风险可以查看该制品所有组件的开源 license 名称、风险等级、来源信息与关联组件等。
组成成分分析(SBOM)
目前仅针对 Generic、Maven、Docker、npm 类型制品提供分析功能。
组成成分分析(SBOM)功能可以帮助企业分析制品中的依赖组件,并提供各组件的版本、漏洞、license 统计等信息。与此同时,系统还会分析制品与依赖的关联关系,包括组件依赖的组件及组件所关联的制品,为软件供应链风险追溯和安全治理提供有效依据。
5. 解决漏洞并记录
单击查看详情或制品名称即可查看该制品版本的漏洞详情。详情页展示了所有漏洞的详细信息,包括漏洞编码、等级、所属依赖、版本、修复建议等。
针对已暴露的漏洞,您可以按照漏洞概览中的修复建议进行漏洞修复。
若漏洞并不会造成较为严重的后果,可以将其记录为忽略;若已对漏洞采取修补动作,可以将其记录为修复。