规则包名称

适用语言

规则介绍

Java开发规约检测

Java

阿里巴巴Java开发规约基于《阿里巴巴 Java 开发手册》，是阿里内部 Java 工程师所遵循的开发规范，涵盖编程规约、单元测试规约、异常日志规约、MySQL 规约、工程规约、安全规约等，这是近万名阿里 Java 技术精英的经验总结，并经历了多次大规模一线实战检验及完善。

敏感信息检测

不限语言

检测代码中的API keys等敏感凭证和密钥，有效防止敏感信息意外提交和泄露。

源码漏洞检测

Java

在软件编程中大多数安全漏洞都源于撰写者，虽然编码工具偶尔也会发生意外，但大部分的错误还是由于编码不当造成的。企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险，但是效果通常并没有设想的有效。

云效源码漏洞检测基于专业安全产品Sourcebrella Pinpoint，为用户提供编码漏洞检测服务，包括：

• 数据泄露：例如泄露堆栈信息、数据传入不安全API等；

• 安全策略管理：如弱加密函数、不安全SSL、不安全随机性、访问控制、不安全存储等；

• 输入验证：如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等；

依赖包漏洞检测

Java

针对三方依赖场景，据不完全统计 78% 的企业在使用开源组件，开源依赖提供方通常没有较多的预算进行安全性测试，黑客的主要攻击目标也是这些开源包内存在的漏洞。为了杜绝安全隐患，企业需要做到以下三点：

1. 了解工程都使用了哪些依赖包；

2. 删除不需要的依赖包；

3. 检测并修复当前依赖的已知漏洞；

依赖包漏洞检测基于阿里云安全漏洞库，高效识别代码依赖包漏洞风险。

代码补丁推荐

Java

基于业界和学术界流行的缺陷检测手段，并分析和规避其局限性，云效算法工程师们提出了一种新的算法，实现更加精准和高效的分析代码缺陷并推荐优化方案，该算法被国际软件工程大会（ICSE）收录。

代码补丁推荐服务目前应用于合并请求的代码自动扫描场景，基于最佳实践样本训练的智能代码补丁推荐算法，为开发者提供缺陷补丁建议，提升代码质量。