saas类商品资产管理与安全测试-j9九游会登录

简介

发布saas商品时，商家需要在资产中心创建saas资产，并将saas网站（包括业务前台，管理后台portal等）、接口地址等信息维护到资产中心；
商家在资产维护的saas网站（包括业务前台，管理后台portal等）要经过云商店安全扫描，不能存在高危漏洞（如xss、sql注入、csrf、xxe注入、os注入、跨目录访问、文件上传漏洞、敏感信息泄露、url重定向泄露、tls配置缺陷、网页木马等）。

关于资产安全说明，请参考

新增saas资产操作步骤

新增资产：进入页面，单击左侧导航栏的“商品管理>我的资产”，单击页面右上角的“新增资产”。
选择资产类型：在选择资产类型窗口中，资产类别选择“saas资产”，根据提示选择其他信息，单击“确定”。
填写资产信息：根据页面提示填写“资产信息”，资产名称建议与saas软件名称保持一致或者相符。
添加saas应用域名/网站。
- 如上架商品的saas应用域名已添加过安全扫描，请勾选即可；
- 如上架的saas应用域名未添加过安全扫描，请参考如下步骤；
1. 单击“添加应用域名/网站”。
2. 填写扫描基本信息，单击“下一步”。
3. 按验证步骤完成域名所有权认证，勾选“我已阅读并同意《华为云漏洞扫描服务声明》，单击“完成认证”。
  - 扫描的saas域名需要与实际请求访问的域名需要一致。
  - 下载的认证文件请不要改动文件的内容，并把整个文件放到域名网站的根目录中。
  - 安全扫描支持扫描的漏洞请参见：安全扫描支持扫描哪些漏洞？
  - 安全扫描的扫描ip请参见：安全扫描的扫描ip有哪些？
4. 填写网站设置信息，登录方式二选一，支持账密或cookie的登录方式，确认无误后单击“确认”。
5. saas应用域名添加成功后，请勾选即可。
6. 勾选商家自检项，单击“完成检测”。
添加技术对接信息：如无法选择接口地址，请先参考saas类商品技术对接方案 v2.0指南进行接口开发。
- 基础接口地址：通用商品必须对接。
- 账号同步接口地址：通用商品请选"否"。
- 扩展参数(可选)：扩展参数为客户下单时手动输入，请按需选择需要额外传递的参数。
- 开通信息(可选)：请选择商品开通时，saas接口需要接收的客户敏感信息（手机号&邮箱号&华为云iam子账号信息）。
  
  自2025.10.25日起，新增saas资产不再支持接口传递华为云iam子账号信息，存量的saas资产不受影响。
单击“提交审核”：进入安全测试审核阶段，并提交完成后可查看资产审核状态。

查看资产审核状态

提交成功后，商家可在“商品管理>我的资产>申请列表”中，查看审核状态。

当资产状态为“已通过”，说明此资产可用于发布saas商品，商家可进入3.8.2.4-发布saas类商品。
当资产状态为“扫描中”，系统将按照对资产进行扫描，如有任何疑问可提交工单咨询客服。
当资产状态为“已驳回”，请单击“详情”进入资产详情页面，下拉至“saas应用域名/网站”，下载查看“安全扫描报告”。
- 如安全问题已完成整改，单击“修改”，再次提交saas资产审核。
- 如安全扫描存在误报，单击“申诉”，进入申诉页面。
  1. 请在下载的“安全扫描报告”表格中的f、g、h列填写误报结论并保存。
  2. 单击“申诉举证材料”上传填写后的文件，在右下方单击“提交”，资产状态将变更为“审核中”，提交之后工作人员会在3个工作日内审核。