源码漏洞检测

限定语言:Java、Python、JavaScript

在软件编程中大多数安全漏洞都源于撰写者,虽然编码工具偶尔也会发生意外,但大部分的错误还是由于编码不当造成的。

企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险,但是效果通常并没有设想的那么有效。

现在,Codeup 内置支持源码漏洞检测,基于专业安全产品Sourcebrella Pinpoint,为用户提供覆盖 Java \ Python \ JavaScript 等常见语言的漏洞检测服务,包括:

  • 数据泄露:例如泄露堆栈信息、数据传入不安全API等;

  • 安全策略管理:如弱加密函数、不安全SSL、不安全随机性、访问控制、不安全存储等;

  • 输入验证:如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等;

启用源码漏洞检测

为了提高检测灵活性,源码漏洞检测通过云效流水线 Flow 执行扫描,使用者可以将源码检测步骤自定义放置入自己的研发流程中。

参见「云效流水线 Flow 是什么

点击「安全」标签页,若没有开启过任何检测任务,将出现服务开启选项:

源码漏洞检测1

点击「立即启用」在弹窗中完成检测参数配置:

检测覆盖 Java \ Python \ C \ C++ \ JavaScript 等常见语言,其中Java需要设置构建命令,如无特殊依赖,默认编译命令可直接使用。

源码漏洞检测2

点击「执行检测」将立即创建流水线检测任务并执行检测。

若已开启部分检测服务,将出现服务菜单和对应问题列表,点击「源码漏洞检测」标签可见开启按钮。

源码漏洞检测3

开启后默认提交代码和合并请求都将触发检测任务执行,如需修改需前往对应 Flow 流水线检测任务页面完成编辑。

查看检测结果

安全页面

由于检测根据代码情况将花费一定的时间,请耐心等待,检测完成后将展示问题列表,支持切换分支查看各分支最近一次检测结果:

源码漏洞检测4

点击问题名称将展开问题详情:

源码漏洞检测5

查看问题引入路径

支持查看问题引入的过程路径,点击路径名将跳转到对应文件行,供使用者排查问题来源:

源码漏洞检测6

同时支持查看已解决的问题历史和相对前一次检测新增的问题:

源码漏洞检测7

提交页面

针对执行检测的提交将呈现检测结果,点击查看详情:

源码漏洞检测8源码漏洞检测9

修改检测参数

由于源码漏洞检测服务基于 Flow 流水线执行,因此修改设置需要前往对应流水线完成。

在检测结果页面将标识当前检测结果来源:

源码漏洞检测10

点击「报告来源流水线」将便捷跳转当前报告来源的流水线页面,如需修改检测规则,请点击编辑流水线完成设置:

源码漏洞检测13源码漏洞检测11

如需修改代码源触发配置,可点击「源」完成触发方式等修改:

源码漏洞检测12

修改完成后保存即可,下次触发将使用新设置进行检测。

注意

  1. 展示规则

    当前「安全」标签页-「源码漏洞检测」仅展示最近一次检测结果。

    如果当前仓库同一分支存在多条流水线执行,目前 Codeup 仅同步全部流水线中最新一次检测结果供查看,其余流水线的执行结果可前往 Flow 查看。

  2. 弃用服务

    如不再使用源码漏洞检测,请前往 Flow 流水线删除或弃用流水线对应检测任务即可,流水线将不再执行检测,Codeup 对应不再更新检测结果。