安全性掃描
監視您的Adobe Commerce和Magento Open Source網站是否有安全性風險和惡意程式,並接收安全性更新和通知。
- 讓insight瞭解存放區的即時安全性狀態。
- 根據最佳實務接收建議,以協助解決問題。
- 排程每週、每日或依需求執行安全性掃描。
- 執行超過21,000項安全性測試,協助識別潛在的惡意軟體。
- 存取追蹤及監控網站進度的歷史安全性報告。
- 存取顯示成功和失敗檢查的掃描報告,並附上任何建議的動作。
安全性掃描工具可從Commerce/Magento帳戶的儀表板中免費取得。 如需技術資訊,請參閱雲端基礎結構上的Commerce指南中的設定安全性掃描工具。
工作流程
若要為您的Adobe Commerce或Magento Open Source網站設定安全性掃描工具,請完成兩個步驟:
步驟1:設定您的網站以進行安全性掃描
-
從Commerce首頁,登入您的Commerce/Magento帳戶。
-
檢閱並接受使用安全性掃描工具的條款。
- 在左側面板中選擇Security Scan。
- 按一下Go to Security Scan。
- 讀取Terms and Conditions。
- 按一下 Agree 以繼續。
-
在 Monitored Websites 頁面上,按一下+Add Site。
如果您有多個網站具有不同的網域,請為每個網域設定個別的掃描。
-
產生確認代碼並新增至安全性掃描工具,以驗證您對網站網域的所有權。
新增確認代碼的程式因您使用的店面型別而異。 請依照店面型別的步驟操作。
-
輸入 Site URL 和Site Name。
-
按一下Generate Confirmation Code。
-
按一下複製,將確認代碼複製到剪貼簿。
-
以具有完整管理員許可權的使用者身分登入您商店的管理員,並執行下列動作:
-
在 管理員 側邊欄中,移至Content > Design>Configuration。
-
在清單中尋找您的網站,然後按一下Edit。
-
展開
-
向下捲動至Scripts and Style Sheets,然後按一下任何現有程式碼結尾的文字方塊。 將確認代碼貼入文字方塊。
-
完成時,按一下Save Configuration。
-
-
返回Commerce帳戶中的 Security Scan 頁面,然後按一下 Verify Confirmation Code 以建立網域的所有權。
-
輸入 Site URL 和Site Name。
-
針對Confirmation Code,請選擇
META Tag選項,然後按一下Generate Code。 -
按一下 Copy 以將產生的確認代碼META標籤複製到剪貼簿。
-
前往PWA Studio storefront專案目錄,並執行下列動作:
-
在PWA Studio專案目錄下,移至
packages > venia-concept > template.html。 -
將複製的確認代碼(產生的META標籤)新增至HTML標題並儲存變更。
-
返回PWA Studio CLI,使用Wyar安裝專案相依性並執行專案建置命令。
code language-sh yarn install && yarn build -
在您的雲端專案中,建立
pwa資料夾,並將內容複製到店面專案的dist資料夾中。code language-sh mkdir pwa && cp -r <path to your storefront project>/dist/* pwa -
使用Git CLI工具來暫存、提交這些變更,並將其推播至您的雲端專案。
code language-sh git add . && git commit -m "Added storefront file bundles" && git push origin建置流程完成後,變更將會部署至您的PWA店面。
-
-
返回Commerce帳戶中的 Security Scan 頁面,然後按一下 Verify Confirmation Code 以建立網域的所有權。
-
輸入 Site URL 和Site Name。
-
針對Confirmation Code,請選擇
HTML Content或META Tag選項,然後按一下Generate Code。 -
按一下 Copy 將產生的確認代碼複製到剪貼簿。
-
前往AEM storefront專案目錄,並執行下列動作:
- 在AEM storefront專案目錄下,移至
head.html。 - 將複製的確認代碼(產生的HTML內容或META標籤)新增至
head.html檔案並儲存變更。
note note NOTE 只有在AEM店面專案目錄中的 head.html檔案直接新增確認時,網站擁有權的驗證才能運作。 無法透過網頁編輯工具(如檔案製作或通用編輯器)新增它。
- 在AEM storefront專案目錄下,移至
-
使用Git CLI工具來暫存、認可這些變更,並將其推播至您的專案存放庫。
code language-sh git add . && git commit -m "Added security scan confirmation code" && git push origin建置流程完成後,變更將會部署至您的AEM商店前面。
-
返回Commerce帳戶中的 Security Scan 頁面,然後按一下 Verify Confirmation Code 以建立網域的所有權。
步驟2:設定自動安全性掃描
-
成功驗證網站擁有權後,請為下列其中一種型別設定 Set Automatic Security Scan 選項:
每週掃描(建議):
選擇每週要執行掃描的Week Day、Time和Time Zone。
根據預設,掃描會排程每週的星期六午夜(UTC)開始,並持續到星期日凌晨。
每日掃描:
選擇每天要執行掃描的 Time 和Time Zone。
根據預設,掃描會排程在每天的午夜UTC開始。
-
輸入您想要接收已完成掃描和安全更新通知的Email Address。
-
完成時,按一下Submit。
在驗證網域的所有權後,網站會顯示在您的Commerce帳戶的「受監控網站」清單中。
-
如果您有多個網站具有不同的網域,請重複此程式,為每個網站設定安全性掃描。
管理掃描失敗
安全掃描工具可讓您直接從報表檢視管理掃描失敗。 您可以將特定的掃描失敗標示為誤判,並將它們從風險分數中排除。
管理掃描失敗的好處
管理掃描失敗有助於您透過以下方式維護更精確的存放區安全性概觀:
- 減少安全性報表中的誤判。
- 著重於需要注意的相關安全性問題。
- 維持更清楚的檢視畫面來瞭解商店的真實安全性狀態。
- 消除需聯絡支援人員以得知已知誤判的情況。
- 自行管理您已調查的掃描失敗以節省時間。
您可能想要將掃描失敗標示為誤判的常見情況包括:
- 當您已套用掃描工具未偵測到的安全性修補程式時。
- 當偵測到的問題不適用於您的特定商店設定時。
- 當您已實作可解決此問題的替代安全性措施時。
- 當掃描失敗是根據您刻意為業務需求設定的設定時。
忽略掃描失敗
若要管理已識別為誤判的掃描失敗,請遵循下列步驟:
-
從 Monitored Websites 頁面,按一下您要管理之網站的View Report。
-
在報表檢視中,找出要標籤為誤判的失敗掃描。
-
按一下 Ignore 以取得特定的掃描失敗。
-
按一下 Apply Changes 儲存您的選擇。
略過的掃描失敗會移至 Ignored Results 區段,並從您的風險分數中排除。
停止忽略掃描失敗
如果您需要將先前忽略的掃描失敗還原到使用中監視,請遵循下列步驟:
-
在報表檢視中,捲動至 Ignored Results 區段。
-
按一下 Stop Ignoring 以取得您要還原的掃描失敗。
-
按一下 Apply Changes 儲存您的選擇。
掃描失敗會移回 Failed Scans 區段,並包含在您的風險分數中。
檢視略過的掃描失敗
忽略的結果會出現在報表的個別區段中,而風險分數會自動更新,以僅反映作用中的掃描失敗。 您可以在套用變更之前選取多個專案,一次管理多個掃描失敗。
