快速开始

文章内容

本文以示例制品 fastjson 作为扫描对象，若项目内已有制品，可以直接进行扫描。

得益于 CODING 制品代理功能，在拉取制品至本地时将自动上传至制品仓库。点击示例制品获取相关信息，若不清楚如何使用 Maven 制品仓库，请参考快速开始。

前往【制品管理】->【制品扫描】，点击左上角的蓝色 + 号创建一个新的扫描方案，输入扫描方案名称、描述、扫描规则和质量红线标准，即可完成创建。

扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型；使用安全漏洞扫描类型能够筛选漏洞等级与 CVE 漏洞白名单。移动端安装包质量检查方案由「腾讯云安装包质量检查 IPT」提供主要能力，点击了解详情。

扫描规则决定了该扫描方案中能够被检查出来的漏洞。若仅勾选了「高危」的漏洞等级，则其他等级的漏洞将不会被统计，即使存在高于「高危」等级的漏洞也不会被纳入检查。

用于在扫描过程中忽略特定类型的漏洞。你可以给某种类型的漏洞定义一个 CVE 漏洞编号并在白名单处填写，若制品存在 CVE-2020-9794 类型的漏洞则不会被纳入统计范围，点击查看 CVE 漏洞收录。

⚠️ 在扫描过程中，漏洞扫描仅会在扫描规则中勾选的等级范围中进行，其他等级均会被过滤，然后才会判断 CVE 漏洞白名单中规定的具体漏洞编号。例如用户在漏洞扫描中只选择了 “危急” 的漏洞等级，而又在 CVE 漏洞白名单中填入了一个 “低危” 等级的漏洞，此等级的漏洞会被忽略。

勾选「按条件筛选」后可以为扫描方案设置应用范围与触发条件。例如下图，当 pypi-go 和 write-go 制品仓库有任何制品更新时就会自动触发该扫描方案。

你还可以对扫描方案添加更加细致的制品筛选条件，如下图当 test 制品的 release 版本有更新时，将对此制品单独进行扫描。

有三种手动触发扫描的方式：触发单个扫描方案、批量触发制品扫描与在持续集成流水线中添加制品扫描。

点击扫描方案右上角的批量扫描可以在全部制品仓库中执行扫描，或设置扫描范围与扫描筛选条件。

在持续集成流水线中也支持手动添加制品扫描单元。

各标示结果的图标意义：

将鼠标移至标示处将会弹窗扫描结果。

针对已暴露的漏洞，你可以按照漏洞概览中的修复建议进行漏洞修复。

若漏洞并不会造成较为严重的后果，可以将其记录为“忽略”；若已对漏洞采取修补动作，可以将其记录为“修复”。

若希望上手扫描更多制品，请阅读此文档。

20211026