1.1 登录
输入用户名和密码登录进入嵌入式安全审计平台,创建用户请联系管理员。
登录成功后进入系统概览页面,用户权限分为管理员(Admin)和普通用户(User)。
管理员(Admin):可查看概览、项目管理、审计策略、KnowledgeBase(开源软件资产知识库)、报告管理、用户管理、任务中心、系统设置页面。
普通用户(User):可查看概览、项目管理、审计策略、KnowledgeBase(开源软件资产知识库)、报告管理页面。
1.2 概览
在概览页面,主要包含团队项目统计、状态统计、风险统计、最近项目等。
团队项目统计:统计用户加入的团队和项目个数。
状态统计:统计用户项目分析状态信息。
风险统计:统计用户项目的不同等级风险信息。
最近项目:显示最近操作的10个项目信息。
1.3 项目管理
在项目管理页面,可以查看当前团队下项目列表和相关统计信息。
新建项目:创建新项目。详情请参见 创建分析。
开始分析:可触发项目下所有分析。
删除:可以软删除当前项目,系统管理员可在任务中心恢复软删除的项目。
项目详情:可以进入项目查看详细分析版本列表。
执行记录:仅团队管理员可见,可以查看项目的历史执行记录。
查看团队成员:仅团队管理员可见,可以管理团队成员,包含添加成员、删除成员、显示所有成员。
可切换团队查看不同团队项目信息,加入团队需联系团队管理员操作,用户在团队中有三种角色。
团队管理员(Manager):具有查看、操作项目、管理团队权限,会显示相关团队管理入口。
团队成员(Member):具有查看、操作项目相关权限。
团队只读成员(Viewer):具有查看项目权限。
单击项目详情可查看该项目分析版本列表。
1.4 审计策略
在审计策略页面,可以查看策略列表和相关统计信息,每个团队都有对应的审计策略,审计策略的作用是根据特定的规则过滤分析结果。
说明:
不同的团队角色具有不同的权限。
团队管理员(Manager):具有查看、创建、编辑审计策略权限。
团队普通成员(Member):具有查看、创建、编辑审计策略权限。
团队只读成员(Viewer):具有查看审计策略权限。
新建策略:新建团队安全审计策略。
设为默认/取消默认:设置/取消当前策略为默认策略,创建分析时将优先显示默认策略。
修改策略:修改安全审计策略规则。
复制:在当前团队复制出一条相同策略。
删除:删除当前策略,若该策略已被分析使用,需先将策略和分析解绑后才可删除。
1.5 开源组件知识库
在开源组件知识库(KnowledgeBase)页面可以查询组件和漏洞相关信息。
按组件搜索:根据组件类别、组件名称、组件版本、组件命名空间查询组件详情。
按漏洞搜索:根据漏洞ID查询漏洞详情,支持pcmgr ID和CVE ID,如pcmgr-105847,CVE-2018-1000500。
1.6 BOM
在 BOM > SBOM(Software Bill of Materials)页面,可以查看团队下所有分析报告中的组件信息。
支持单击查看组件详情,查看组件及其关联分析,从而帮助团队确认软件是否受到某些已知风险组件的影响。
支持查看组件在知识库中的最新状态,如果最新状态相比分析结果有所更新,则会给出相应的提示,例如“漏洞更新”和“License 更新”,从而展示当前最新的风险情况。
1.7 报告管理
1.8 个人中心
个人资料
1. 在概览页面,单击右上角头像,选择个人资料。
2. 在个人资料页面,支持查看个人信息,单击修改密码。
3. 在修改密码页面,输入新旧密码,单击提交。
令牌管理
API 令牌可用于 API 调用场景,如通过 API 接口的方式实现1.自动化创建-2.执行-3.查看分析项的场景。
1. 在概览页面,单击右上角头像,选择个人资料。
2. 在个人资料页面,单击令牌管理。
3. 在令牌管理页面,单击新建,输入令牌备注。
4. 单击创建,即可生成所需令牌。
5. 在令牌管理页面,可查看 API 令牌,单击删除,经过二次确认后,可删除该令牌。
