头图

云效代码管理Codeup-源码漏洞检测,在软件编程中大多数安全漏洞都源于撰写者,虽然编码工具偶尔也会发生意外导致源码有漏洞,但大部分的错误还是由于编码不当造成的。虽然通过企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险,但是效果通常并没有设想的那么有效,现在Codeup 内置支持源码漏洞检测,基于专业安全产品Sourcebrella Pinpoint,为用户提供覆盖 Java \ Python \ JavaScript 等常见语言的源码漏洞检测服务,包括:

  • 数据泄露:例如泄露堆栈信息、数据传入不安全API等;
  • 安全策略管理:如弱加密函数、不安全SSL、不安全随机性、访问控制、不安全存储等;
  • 输入验证:如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等;

启用源码漏洞检测

为了提高源码漏洞检测灵活性,源码漏洞检测通过云效流水线 Flow 执行扫描,使用者可以将源码检测步骤自定义放置入自己的研发流程中。

参见「云效流水线 Flow 是什么

点击「安全」标签页,若没有开启过任何漏洞检测任务,将出现服务开启选项:

image.png

点击「立即启用」在弹窗中完成漏洞检测参数配置:

检测覆盖 Java \ Python \ C \ C++ \ JavaScript 等常见语言,其中Java需要设置构建命令,如无特殊依赖,默认编译命令可直接使用。

image.png

点击「执行检测」将立即创建流水线检测任务并执行检测。

若已开启部分检测服务,将出现服务菜单和对应问题列表,点击「源码漏洞检测」标签可见开启按钮。

image.png

开启后默认提交代码和合并请求都将触发检测任务执行,如需修改需前往对应 Flow 流水线检测任务页面完成编辑。

查看检测结果

安全页面

由于检测根据代码情况将花费一定的时间,请耐心等待,检测完成后将展示问题列表,支持切换分支查看各分支最近一次检测结果:

image.png

点击问题名称将展开问题详情:

image.png

查看问题引入路径

支持查看问题引入的过程路径,点击路径名将跳转到对应文件行,供使用者排查问题来源:

image.png

同时支持查看已解决的问题历史和相对前一次检测新增的问题:

image.png

提交页面

针对执行检测的提交将呈现检测结果,点击查看详情:

image.png

image.png

修改检测参数

由于源码漏洞检测服务基于 Flow 流水线执行,因此修改设置需要前往对应流水线完成。
在检测结果页面将标识当前检测结果来源:

image.png

点击「报告来源流水线」将便捷跳转当前报告来源的流水线页面,如需修改源码检测规则,请点击编辑流水线完成设置:

image.png

image.png

如需修改代码源触发配置,可点击「源」完成触发方式等修改:

image.png

修改完成后保存即可,下次触发将使用新设置进行检测。

注意:

  1. 展示规则

当前「安全」标签页-「源码漏洞检测」仅展示最近一次检测结果。
如果当前仓库同一分支存在多条流水线执行,目前 Codeup 仅同步全部流水线中最新一次检测结果供查看,其余流水线的执行结果可前往Flow 查看。

  1. 弃用服务

如不再使用源码漏洞检测,请前往 Flow 流水线删除或弃用流水线对应检测任务即可,流水线将不再执行检测,Codeup 对应不再更新检测结果。

立即体验


云效DevOps平台
38 声望21 粉丝

阿里云云效,[链接]体验云原生时代新DevOps平台,支持公共云、专有云和混合云多种部署形态,通过云原生新技术和研发新模式,助力创新创业和数字化转型企业快速实现研发敏捷和组织敏捷,打造“双敏”组织,实现多倍...