产品简介
功能介绍
CODING 制品仓库的扫描功能可以在不访问源代码的情况下,通过扫描二进制组件及其元数据,找寻组件中存在的漏洞。制品扫描功能支持与持续集成/持续部署模块相集成。您可以在方案中预设质量红线标准,杜绝问题组件发布至生产环境。同时,扫描方案还支持提供详细扫描记录和缺陷统计。
词汇表
扫描方案
用于规定扫描规则、质量红线,以及被执行扫描的制品包。扫描方案只能应用于当前项目内的制品仓库,每个扫描方案都有唯一的扫描 ID。扫描方案可以应用于当前仓库下的任意仓库 -> 任意制品包 -> 任意制品版本。触发方式可以选择制品包更新时自动触发或选择制品版本手动触发。
扫描规则
用于规定扫描时关注的制品缺陷内容,可以指定关注的漏洞等级并设置漏洞白名单。
质量红线
用于规定扫描结果是否通过的标准,设置各等级漏洞累计/新增的数量范围。
方案应用
单个扫描方案可以复用于各类型的制品仓库中的任意制品版本,触发方式支持制品包更新时自动触发与手动触发。
方案类型
扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型。移动端安装包质量检查方案由「腾讯云安装包质量检查 IPT」提供主要能力。除了两种类型外,制品扫描还将继续拓展更多制品扫描能力。
安全漏洞扫描
扫描制品及其依赖的公共组件中存在的安全漏洞。漏洞的定义采用 CVE 国际通用标准及评级;制品扫描采用的组件漏洞特征库由云鼎实验室维护,为腾讯安全提供超过 20 年的行业经验积累,由专门的安全运营团队实时更新。
支持的制品类型仓库为:Docker, Maven, npm, PyPI
移动端安装包质量扫描
对 Android / iOS 操作系统的安装包进行安装包大小、重复文件、图片等进行规范检查。
支持 Generic 类型制品仓库中
.ipa
和.apk
格式的制品文件。

在阅读中是否遇到以下问题?*
您希望我们如何改进?*
如果您希望得到回复,请留下您的邮箱地址。