华为云用户手册

身份认证 用户访问云数据库GaussDB(for MySQL)时支持对数据库用户进行身份验证，包含密码验证和IAM验证两种方式。 密码验证 您需要对数据库实例进行管理，使用数据管理服务（Data Admin Service）登录数据库时，需要对账号密码进行验证，验证成功后方可进行操作。 IAM验证 您可以使用统一身份认证服务（Identity and Access Management， IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。您创建的IAM用户，需要通过验证用户和密码才可以使用GaussDB(for MySQL)资源。具体请参见创建IAM用户并登录。

2.0.28.9 表8 2.0.28.9版本说明 日期 特性描述 2022-09-23 修复在Condition_pushdown::replace_columns_in_cond中使用不正确的条件判断的问题。 修复递归调用存储函数之后导致数据库崩溃的问题。 修改多表删除和full-text搜索的时候导致数据库崩溃的问题； 修复运行多个窗口函数的SQL查询语句之后导致数据库崩溃的问题； 修复具有全局级别权限的用户，执行SHOW CREATE DATABASE失败的问题。

2.0.28.1 表11 2.0.28.1版本说明 日期 特性描述 2022-05-16 新特性 GaussDB(for MySQL)增加orphaned definer check控制开关。 GaussDB(for MySQL)支持Proxy IP透传。 GaussDB(for MySQL) Proxy提供会话一致性功能。 问题修复 修复主机DDL未提交导致的备机dd（data dictionary）未更新问题。 修复故障切换的主机的auto increment回退的问题。 修复备机性能异常问题。

2.0.31.220700 表12 2.0.31.220700版本说明 日期 特性描述 2022-08-12 新特性及性能优化 支持SQL限流。 新增FasterDDL并行数限制。 支持Faster DDL的所有ROW格式。 扩展全量SQL字段。 优化流量控制。 支持ALTER TABLE快速超时。 支持Query plan cache。 备机统计信息优化。 问题修复 修复主机rename partition-table之后备机crash的问题。 修改sql tracer的默认buffer size。 修复备机truncate lsn落后很多情况下备机拉起失败的问题。 修复含有多个相同范围的SQL查询导致的执行计划错误的问题。 修复空账户导致的crash的问题。 修复drop database可能导致的crash的问题。

2.0.39.230300 表1 2.0.39.230300版本说明 日期 特性描述 2023-05-11 新特性及优化： 支持小规格实例。 备机DDL失效方案优化。 SALSQL使用空间容量计算优化。 支持对单个SQL语句使用资源进行限制。 支持admin port和local socket使用per thread。 pwalScanner内存优化。 支持修改default_collation_for_utf8mb4参数。 支持大事务检测能力。 支持Kill idle transactions。 优化增量恢复速度。 新增数据库描述和账号描述。 支持buffer pool resize加速。 问题修复： 修复Ptrc可能会导致Nestedloop join的结果不一致问题。 修复使用windows函数进行排序的子查询可能会导致crash问题。 修复使用rewrites view时，如果评估可能会把left joins转化为inner joins问题。 修复指定过滤条件的decimal类型的数据不返回结果问题。 修复内存非对齐问题。 修复全量日志中记录scan_row不准确问题。

2.0.28.15 表5 2.0.28.15版本说明 日期 特性描述 2023-01-11 新特性 支持SQL限流。 读流控优化。 主备执行计划一致优化。 slice异步预创建。 问题修复 修复系统变量INNODB_VALIDATE_TABLESPACE_PATHS关闭情况下undo space truncate的时候出现的crash问题。 修复查询information_schema.innodb_trx较慢问题。 修复查询结果不一致的问题：left joins没有转化为inner joins。 修复优化子查询的过程中导致的crash问题。 修复并发instantDDL和DML场景下未按实际获取instant字段值的问题。 修复当load有FTS索引的两个INNODB表时可能导致OOM的问题。 修复更新百万级别的表的数据字典可能导致OOM的问题。

2.0.28.16 表4 2.0.28.16版本说明 日期 特性描述 2023-03-14 新特性： 优化主备时延。 修复问题： 修复prepare statement中使用json相关函数处理错误问题。 修复指定过滤条件查询结果不返回的问题; 修复WINDOWS函数生成磁盘临时表后，出现空指针异常问题。 修复windows functions空指针使用导致的crash问题。 修复prepared statements执行失败的问题。

计费示例 假设您在2023/04/18 08:45:00购买了一个带宽计费的弹性公网IP，带宽大小6Mbit/s，在2023/04/18 09:45:00绑定实例，在2023/04/19 06:45:00解绑实例，然后在2023/04/19 08:55:00将其释放成功。弹性公网IP保有费0.02元/小时，图1给出了上述示例配置的每小时带宽费用的计算过程，带宽大小6Mbit/s的带宽费0.565元/小时。 图1 按带宽计费EIP每小时费用计算示例 表2给出了上述示例配置的弹性公网IP费用计算过程，总的费用是13.7176元。 表2 按带宽计费费用明细 计费日期 产生费用时间段 费用明细（带宽费+弹性公网IP保有费） 费用总和（元） 2023/04/18 计费时长共60分钟 2023/04/18 08:45:00~ 2023/04/18 09:45:00 弹性公网IP保有费 60/60*0.02=0.02 带宽费 60/60*0.565=0.565 2023/04/18费用总和=0.02+0.565+0+8.0513=8.6363 计费时长共855分钟 2023/04/18 09:45:00~ 2023/04/19 00:00:00 弹性公网IP保有费 0 带宽费 855/60*0.565=8.0513 2023/04/19 计费时长共405分钟 2023/04/19 00:00:00 ~ 2023/04/19 06:45:00 弹性公网IP保有费 0 带宽费 405/60*0.565=3.8138 2023/04/19费用总和=0+3.8138+0.0433+1.2242=5.0813 计费时长共130分钟 2023/04/19 06:45:00~ 2023/04/19 08:55:00 弹性公网IP保有费 130/60*0.02=0.0433 带宽费 130/60*0.565=1.2242

计费说明 弹性公网IP主要计费是公网带宽的费用和弹性公网IP保有费，EIP提供“包年/包月”和“按需计费”两种计费模式，以满足不同场景下的用户需求。 表1 弹性公网IP计费项 计费项 计费项说明 适用的计费模式 计费公式 资源单价 公网带宽 计费因子：带宽费、流量费。 包年/包月：支持按带宽计费方式，收取带宽费。 按需计费（按带宽计费）：支持按带宽计费，收取带宽费。 按需计费（按流量计费）：支持按流量计费，收取流量费。 加入共享带宽：收取共享带宽的带宽费。 包年/包月、按需计费 带宽费支持使用带宽加油包抵扣，流量费支持使用共享流量包抵扣。 按固定带宽值采用阶梯计费 0Mbit/s~5Mbit/s（含）：每Mbit/s均为一个统一的单价 大于5Mbit/s的部分：按每Mbit/s计费 公网带宽单价请参见产品价格详情。 弹性公网IP不同区域的固定带宽计费单价以及是否采用阶梯计费有差异，请以弹性公网IP价格详情中的价格为准。 弹性公网IP保有费 按需计费（按带宽计费）、按需计费（按流量计费）、加入共享带宽会收取弹性公网IP保有费。 说明： 如果弹性公网IP已绑定至实例，则弹性公网IP保有费为0。 按需计费 按每小时固定值计算 不同区域的弹性公网IP保有费计费单价有差异，请以弹性公网IP价格详情中的价格为准。

场景示例：核对资源用量是否与实际相符 假设您在2023/04/18 8:23:10购买了一个按带宽计费的弹性公网IP，带宽大小4Mbit/s，然后在2023/04/18 09:23:10将其释放成功。 固定带宽流水账单 按需计费（按带宽计费）的固定带宽费按秒计费，每一个小时整点结算一次费用，您可以在流水账单中核对每一个计费周期的信息是否和实际相符，具体如表1所示。 表1 固定带宽流水账单 产品类型 虚拟私有云 VPC 产品 固定带宽 计费模式 按需计费（按带宽计费） 消费时间 2023/04/18 08:23:10 ~ 2023/04/18 09:23:10时段计费系统将生成2笔流水账单，对应每一个计费周期，分别如下： 2023/04/18 08:23:10 ~ 2023/04/18 09:00:00 2023/04/18 09:00:00 ~ 2023/04/18 09:23:10 官网价 官网价=使用量*单价 本例中，在第一个计费周期内，计费时长共2210秒，固定带宽费以0.063元/Mbps/小时为例，带宽大小4Mbit/s。那么官网价=(2210 ÷ 3600) *0.063*4=0.15470000元。同理，您可以计算剩余计费周期内资源的官网价。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 抹零金额 华为云产品定价精度为小数点后8位（单位：元），因此在计费过程中会产生小数点后8位的资源使用费用。而在实际扣费时，仅扣除到小数点后2位，小数点后第3位到第8位部分金额会被舍弃，这种舍弃部分的金额称作抹零金额。 以第一个计费周期为例，抹零金额为：0.0047 元 应付金额 应付金额=官网价-优惠金额-抹零金额 以第一个计费周期为例，假设优惠金额为0，那么应付金额=0.1547 - 0 - 0.0047 = 0.15 元 固定带宽明细账单 明细账单可以通过多维度展示客户账单的详细信息。一般通过设置统计维度为“按使用量”，统计周期为“按账期”来统计资源在某个月份的总开销，建议您核对表2所示的信息是否和实际相符。 表2 固定带宽明细账单 产品类型 虚拟私有云 VPC 产品 固定带宽 计费模式 按需计费（按带宽计费） 资源名称/ID 弹性公网IP的名称和ID 例如：110.**.***.118，59738052-xxxx-xxxx-9f63-cb62cf43ef9c 规格 弹性公网IP的类型，为公网IP 使用量类型 按需计费（按带宽计费）固定带宽的使用量类型为“时长” 单价 按需计费模式为简单定价(使用量*单价)时提供单价信息，其他的定价（如阶梯定价等）不直接提供单价。 您可以在弹性公网IP价格详情中查询带宽费用每段阶梯计费的单价。 单价单位 在弹性公网IP价格详情中查询到按需计费（按带宽计费）的固定带宽单价单位：元/Mbps/小时。 使用量 按产品定价单位显示使用量，固定带宽的单价单位为元/Mbps/小时，因此使用量以小时为单位。本例中，2023/04/18 08:23:10 ~ 2023/04/18 09:23:10时段总计使用量为1小时。 使用量单位 小时 官网价 官网价=使用量*单价*带宽大小 本例中，计费时长共1小时，带宽费以0.063元/Mbps/小时为例，带宽大小4Mbit/s。那么官网价=1*0.063*4=0.25200000元。同理，您可以计算剩余计费周期内资源的官网价。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 应付金额 用户使用云服务享受折扣优惠后需要支付的费用金额。

为什么在扫描时会提示授权委托失败？ 授权委托失败可以根据以下方法进行排查与解决。 使用子账号进行扫描 如果您登录华为云使用的是子账号，请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限，否则扫描时会提示委托授权失败。 使用企业账号（主账号进行扫描）（推荐） 如果用户使用的是主账号扫描还是提示委托失败，可能是因为委托数量到达了上限。 查询委托数量是否达到上限： 将鼠标移动至用户名，单击“统一身份认证”，如图1所示，进入“用户”页面。 图1 统一身份认证 单击“委托”，进入“委托”页面查看委托数量，如图2所示，最多可委托10个。 图2 委托数量 父主题： 主机扫描类

扫描任务有哪些状态？ 扫描任务的状态如表1所示。 表1 扫描任务状态 状态 含义 已完成 任务扫描完成。 进行中 任务正在进行扫描。 排队中 任务正在等待执行。 说明： 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“排队中”。 已失败 任务扫描失败。 未扫描 任务还未执行扫描。 已取消 任务被取消。 说明： 任务在“进行中”或“排队中”才可以被取消。 任务可能经历的状态历程。 排队中→进行中→已完成 排队中→已取消 排队中→进行中→已取消 父主题： 产品咨询类

成分分析的开源软件风险如何分析？ 成分分析基于静态风险检测，会对用户上传的软件包/固件进行解压并分析其中的文件，识别包中文件包含的开源软件清单，并分析是否存在已知漏洞、License合规等风险。用户扫描完成后，建议按照以下步骤进行分析排查： 开源软件分析，分析开源软件是否存在以及软件版本是否准确。 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件，然后分析该文件中开源软件是否存在或准确（可由相关文件的开发或提供人员协助分析），如果否，则无需后续分析。 已知漏洞分析，分析已知漏洞是否准确。 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号，获取漏洞详情 概要分析：查看影响的软件范围，如CVE-2021-3711在NVD社区中的Known Affected Software Configurations，如下图，确认漏洞是否影响当前使用的软件版本，如果当前使用的软件版本不在影响范围内，则初步说明漏洞可能不涉及/影响。 精细化分析：漏洞通常存在于某些函数中，可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式，如下图，用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞 License合规分析。基于报告中开源软件及对应的License分析软件是否合规，满足公司或准入要求。 风险解决方式： 已知漏洞：如果当前使用的软件版本存在漏洞，可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。 License合规：如果使用的软件存在合规风险，则需要寻找相似功能且合规的开源软件进行替代。 父主题： 二进制成分分析类

使用了Web应用防火墙，对网站扫描时SSL/TLS存在bar mitzvah attack漏洞？ 使用了Web应用防火墙（WAF）对网站扫描时SSL/TLS存在bar mitzvah attack漏洞，需要设置TLS配置。 登录Web应用防火墙控制台。 进入网站设置页面入口。 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。 在“TLS配置”所在行，单击修改TLS配置。 选择“TLS v1.2”和“加密套件2”，加密算法为EECDH+AESGCM:EDH+AESGCM。 图1 TLS配置 单击“确定”。 重新对网站进行扫描即可正常。 父主题： 网站扫描类

为什么安装了最新kernel后，仍报出系统存在低版本kernel漏洞未修复？ 使用yum update kernel将kernel更新至最新版本后，漏洞管理服务扫描EulerOS仍报出大量kernel漏洞。这种情况不属于漏洞管理服务工具误报，而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行，实际上仍然使用未升级前的kernel扫描系统，所以漏洞仍然存在。 执行 如下命令可以查看当前系统安装了哪些版本的 kernel。 rpm -qa | grep kernel 执行如下命令可以查看当前系统实际使用的是什么版本的kernel。 uname -a 上面例子中就是实际使用的是低版本的存在大量CVE漏洞的kernel，因此使用漏洞管理服务扫描仍会报kernel存在CVE-2020-0465等漏洞。 此案例对于使用了CentOS、EulerOS、Red Hat、SUSE的用户均适用。 此外还有某些情况下，用户使用的yum源并不是操作系统官方最新的源，也即yum源中没有操作系统最新的安全补丁，此种情况下也可能报出kernel漏洞未修复的问题。此种情况下需要更新yum源为操作系统官方源或者向操作系统提供方寻求安全补丁的支持。总之，需要基于漏洞管理服务扫描报告中的“修复建议”中的installed version和fixed version的内容，进行分析和修复。 父主题： 主机扫描类

开启基于HTTP的WinRM服务 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTP的WinRM是否开启。 winrm enumerate winrm/config/listener 如果存在报错信息，则表示WinRM服务未开启，请执行3。 如果不存在报错信息，则表示WinRM服务已开启，请执行4。 执行如下命令开启WinRM，选择y完成设置。 winrm quickconfig 配置Auth。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无须执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 配置加密方式为允许非加密。 执行如下命令查看Service信息。 winrm get winrm/config/service 当返回值中“AllowUnencrypted”为“false”时，请执行5.b。 执行如下命令修改“AllowUnencrypted”的值为“true”。 winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行如下命令检查基于HTTP的WinRM服务是否开启成功。 winrm e winrm/config/listener 查看返回值，输出结果有HTTP的“Listener”且“Enabled”为“true”，则为开启状态。

开启基于HTTPS的WinRM服务 基于HTTPS的WinRM只支持Windows Server 2016及以上版本。 以Windows系统管理员身份运行PowerShell。 执行如下命令查看基于HTTPS的WinRM是否开启。 winrm e winrm/config/listener 输出结果有HTTPS的“Listener”且“Enabled”为“true”，则为开启状态。如果未开启，则请直接执行4。 校验WinRM是否使用用户名密码验证及使用的证书是否正确。 执行如下命令查看是否使用用户名密码验证。 执行如下命令查看Auth信息。 winrm get winrm/config/service/auth 执行如下命令修改“Basic”的值为“true”。 当返回值中“Basic”为“true”时，无须执行该步骤。 winrm set winrm/config/service/auth '@{Basic="true"}' 执行如下命令校验WinRM使用的证书是否正确。 ls Cert:\LocalMachine\My\ 如果有输出，且“Thumbprint”与2的Thumbprint对应，“CN”名与主机名对应，则基于HTTPS的WinRM已配置完成。 如果不满足上面任意一条则请直接执行5替换HTTPS WinRM使用的证书。 以Windows系统管理员身份运行cmd，并执行如下命令创建基于HTTPS的WinRM服务。 该步中需要使用CN与主机名相同的证书，如果不同，请先执行5.a生成证书。 winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Port="5986" ;Hostname="" ;CertificateThumbprint=""} 执行成功结果如上图。其中，“Port”为监听端口（建议不做更改），“CertificateThumbprint”为证书的Thumbprint，“Hostname”为主机名，可通过在PowerShell中输入如下命令获取： hostname 可再通过2～3验证HTTPS WinRM配置是否正确。 替换HTTPS WinRM使用证书。 生成CN与主机名相同的自签名证书。 在PowerShell中输入如下命令创建证书： $params = @{ Type = 'SSLServerAuthentication' Subject = 'CN=' TextExtension = @( '2.5.29.37={text}1.3.6.1.5.5.7.3.1' ) KeyAlgorithm = 'RSA' KeyLength = 2048 CertStoreLocation = 'Cert:\LocalMachine\My\' } New-SelfSignedCertificate @params 其中，除“Subject”的值外，其他值请和上述命令保持一致，“Subject”值的格式为“CN=hostname”，hostname的获取见4。 生成成功会输出证书的Subject和Thumbprint。 执行如下命令替换证书。 Set-WSManInstance -ResourceURI winrm/config/Listener -SelectorSet @{Address="*"; Transport="HTTPS"} -ValueSet @{CertificateThumbprint=""} 其中，“CertificateThumbprint”为证书的Thumbprint，可再通过2～3验证HTTPS WinRM配置是否正确。

影响 扫描任务操作逻辑变化。 之前“创建任务”界面的“目标网址”中填写的网站URL，直接在新界面的“网站地址”处填写即可。 图1 填写网站地址 历史任务处理。 对于已存在的历史任务，有两种方式进行扫描。 在“查看报告”界面，单击“重新扫描”，对上一次扫描的网站重新进行扫描。 图2 重新扫描历史任务 通过“新建网站”资产，指定具体网站URL。 假如历史任务的目标网址为：http://www.example.com/home/index，则新建网站时，“网址地址”与该历史任务的目标网址保持一致。 图3 网站地址 新增网站的具体操作请参考添加网站。

扫描的隐私合规问题如何分析定位？ 针对扫描结果中的隐私合规问题告警，可以通过以下几个信息进行分析定位，并整改处理。 截图：在动态运行APP过程中，对部分涉及界面的合规问题进行截图举证，在最终扫描结果中提供截图展示，用户可根据截图进行告警分析。 调用栈：涉及收集个人数据类告警，包括第三方SDK收集，扫描结果中会提供代码调用栈信息，帮助应用开发人员快速查找问题点。 隐私申明片段：对于应用实际行为与隐私声明不一致的合规问题，扫描结果中会提取相应的隐私审批片段，能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。 相应政策规范：该项告警违反的哪些规范条目，在扫描报告中详细列举，用户可以针对性的进行分析整改。 父主题： 移动应用安全类

配置修改方法 通常Web应用的TLS/SSL协议由Web容器配置（常见的Tomcat/Nginx/Apache），或者通过云服务供应商提供的服务配置（WAF/Https）。开发人员需要根据自身业务情况确认配置位置，并了解TLS/SSL相关配置项。常见的参考： Apache Tomcat 8 (8.5.73) - SSL/TLS Configuration How-To SSL/TLS Strong Encryption: How-To - Apache HTTP Server Version 2.4 Nginx Configuring HTTPS servers 也可以参考Mozilla SSL Configuration Generator自动生成的TLS/SSL配置来修改。

基本概念 加密套件是TLS/SSL协议中的一个概念，是指服务器和客户端所使用的加密算法组合。在TLS握手阶段，客户端将自身支持的加密套件列表告诉服务器，服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。这些算法包括密钥交换算法、批量加密算法和消息认证码（MAC）算法，组合起来有数百种不同的密码套件。这些密码套件中有的安全性较差，称为弱加密套件，例如：TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。

漏洞管理服务支持扫描哪些漏洞？ 漏洞管理服务支持扫描的漏洞有： 弱口令检测 SSH、Telnet、FTP、MySQL、PostgreSQL、Redis、SMB、WinRM、Mongo、MSSQL Server、Memcached、SFTP。 前端漏洞 SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。 Web注入漏洞 命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。 父主题： 产品咨询类

任务部分检测项有数值，但任务状态显示失败？ 如下图显示，任务检测结果中安全漏洞检测有告警，隐私合规问题数为0，任务状态为“失败”。 每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。 父主题： 移动应用安全类

扫描的安全漏洞告警如何分析定位? 针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息： 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。 针对部分检测问题，如签名安全检测告警，无具体问题文件显示。 漏洞特征信息，主要为安全漏洞所涉及的函数代码。 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。 父主题： 移动应用安全类

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何配置跳板机进行内网扫描？ 使用跳板机进行内网扫描的网络示意图如图1所示。 图1 网络示意图 创建主机扫描任务，IP地址栏填写目标主机的内网IP。 添加跳板机配置。 配置的跳板机“公网IP”需与被测目标机的内网环境互通。 添加跳板机后，还需在该跳板机的ssh配置文件“/etc/ssh/sshd_config”中添加：AllowTcpForwarding yes，用于支持SSH授权登录转发。修改配置后需重启sshd服务。 父主题： 主机扫描类

成分分析的扫描原理是什么，主要识别哪些风险？ 对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类： 开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。 信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。 安全编译选项：支持检测包中二进制文件编译过程中相关选项是否存在风险。 图1 风险项 父主题： 二进制成分分析类

开启了主机安全（HSS）如何配置SSH登录IP白名单 该示例仅指导购买并开启了华为云企业主机安全（HSS）且未配置过白名单的客户，如何将漏洞管理服务扫描IP添加至白名单。 如果您使用的是其他主机安全防护产品，请自行添加。 使用鲲鹏计算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主机，SSH登录IP白名单功能对其不生效。 配置了SSH登录IP白名单的服务器，只允许白名单内的IP通过SSH登录，启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中。

解决方法 如果是网络故障的原因导致主机不能访问，请在网络恢复后重新进行主机扫描。 如果是因为开启了主机安全防护软件导致主机不能访问，则区分如下两种情况： 如果未使用主机安全防护软件的“SSH登录IP白名单”功能，则请参考如何手动解除误拦截IP？，先检查IP是否被拦截，若已被拦截需要解除误拦截IP再重新进行主机扫描。若没有被拦截则请联系华为云技术支持工程师处理。 该操作仅指导购买并开启了华为云企业主机安全（HSS）的客户。 如果使用了主机安全防护软件的“SSH登录IP白名单”功能，则请参考开启了主机安全（HSS）如何配置SSH登录IP白名单将119.3.232.114、119.3.237.223、124.70.102.147、121.36.13.144、124.70.109.117、139.9.114.20、119.3.176.1这些漏洞管理服务的扫描IP添加至主机访问的白名单中，再重新进行主机扫描。