制品扫描介绍

功能介绍

CODING 制品仓库的扫描功能可以在不访问源代码的情况下,通过扫描二进制组件及其元数据,找寻组件中存在的漏洞。制品扫描功能支持与持续集成/持续部署模块相集成。您可以在方案中预设质量红线标准,杜绝问题组件发布至生产环境。同时,扫描方案还支持提供详细扫描记录和缺陷统计。

词汇表

扫描方案

用于规定扫描规则、质量红线,以及被执行扫描的制品包。扫描方案只能应用于当前项目内的制品仓库,每个扫描方案都有唯一的扫描 ID。扫描方案可以应用于当前仓库下的任意仓库 -> 任意制品包 -> 任意制品版本。触发方式可以选择制品包更新时自动触发或选择制品版本手动触发。

扫描规则

用于规定扫描时关注的制品缺陷内容,可以指定关注的漏洞等级并设置漏洞白名单。

质量红线

用于规定扫描结果是否通过的标准,设置各等级漏洞累计/新增的数量范围。

方案应用

单个扫描方案可以复用于各类型的制品仓库中的任意制品版本,触发方式支持制品包更新时自动触发与手动触发。

方案类型

扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型。移动端安装包质量检查方案由「腾讯云安装包质量检查 IPT」提供主要能力。除了两种类型外,制品扫描还将继续拓展更多制品扫描能力。

  • 安全漏洞扫描

    扫描制品及其依赖的公共组件中存在的安全漏洞。漏洞的定义采用 CVE 国际通用标准及评级;制品扫描采用的组件漏洞特征库由云鼎实验室维护,为腾讯安全提供超过 20 年的行业经验积累,由专门的安全运营团队实时更新。

    支持的制品类型仓库为:Docker, Maven, npm, PyPI

  • 移动端安装包质量扫描

    对 Android / iOS 操作系统的安装包进行安装包大小、重复文件、图片等进行规范检查。

    支持 Generic 类型制品仓库中 .ipa.apk 格式的制品文件。

上一篇制品库权限
最近更新
感谢反馈有用
感谢反馈没用

在阅读中是否遇到以下问题?

您希望我们如何改进?