基于云效代码管理的源码漏洞检测是怎样的？

基于云效代码管理的源码漏洞检测是怎样的？

云效代码管理Codeup-源码漏洞检测，在软件编程中大多数安全漏洞都源于撰写者，虽然编码工具偶尔也会发生意外导致源码有漏洞，但大部分的错误还是由于编码不当造成的。企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险，但是效果通常并没有设想的那么有效，现在

云效Codeup内置支持源码漏洞检测，基于专业安全产品Sourcebrella Pinpoint，为用户提供覆盖 Java \ Python \ JavaScript 等常见语言的漏洞检测服务，包括:

数据泄露：例如泄露堆栈信息、数据传入不安全API等；安全策略管理：如弱加密函数、不安全SSL、不安全随机性、访问控制、不安全存储等；输入验证：如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等；

​码漏洞检测​限定语言：Java、JavaScript​​

启用源码漏洞检测

为了提高源码漏洞检测灵活性，源码漏洞检测通过云效流水线 Flow 执行扫描，使用者可以将源码检测步骤自定义放置入自己的研发流程中。

检测覆盖 Java \ Python \ C \ C++ \ JavaScript 等常见语言，其中Java需要设置构建命令，如无特殊依赖，默认编译命令可直接使用。

开启后默认提交代码和合并请求都将触发检测任务执行，如需修改需前往对应 Flow 流水线检测任务页面完成编辑。

查看检测结果

​安全页面​

由于检测根据代码情况将花费一定的时间，请耐心等待，检测完成后将展示问题列表，支持切换分支查看各分支最近一次检测结果：

查看问题引入路径

同时支持查看已解决的问题历史和相对前一次检测新增的问题：

​提交页面​

修改检测参数

由于源码漏洞检测服务基于 Flow 流水线执行，因此修改设置需要前往对应流水线完成。

在检测结果页面将标识当前检测结果来源：

修改完成后保存即可，下次触发将使用新设置进行检测。

​注意​

展示规则当前「安全」标签页-「源码漏洞检测」仅展示最近一次检测结果。如果当前仓库同一分支存在多条流水线执行，目前 Codeup 仅同步全部流水线中最新一次检测结果供查看，其余流水线的执行结果可前往Flow 查看。弃用服务如不再使用源码漏洞检测，请前往 Flow 流水线删除或弃用流水线对应检测任务即可，流水线将不再执行检测，Codeup 对应不再更新检测结果。​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。