代码平安问题频现，防控火烧眉毛

2010 年，大型社交网站 rockyou.com 被曝存在 SQL 注入破绽，黑客利用此破绽获取到 3200 万用户记录；2015 年，英国电话和宽带供应商 TalkTalk 被一名 15 岁的黑客利用 SQL 注入破绽进行攻打，泄露近 400 万客户资料；2018 年，万豪透露 3.39 亿客人个人信息，被处以 1840 万英镑（约合人民币 1.6 亿元）罚款。

依据 WhiteHat Security 的一项钻研表明，各个行业所应用的应用程序中，至多有 50% 蕴含一个或多个重大的可利用破绽，这些层出不穷的安全漏洞将会对企业的生产经营形成重大威逼。但传统的动态应用程序安全性测试（SAST）往往须要较长的扫描剖析工夫，稍大的我的项目常常须要破费好几小时来进行扫描，实时性较差，在版本迭代疾速的 Web 利用开发中重大拖慢整条流水线；同时误报率也较高，同一个破绽屡次报警的状况更是常有产生，开发团队须要消耗大量资源来确认并去除这些误报，导致团队无奈敏捷地融入到 DevSecOps 中。

DevSecOps 是 Gartner 在 2012 年就提出的概念。它的指标是将平安嵌入到 DevOps 的各个流程中去（需要，架构，开发，测试等），从而实现平安的左移，让所有人为平安负责，将安全性从被动转变为被动，最终让团队能够更疾速地开发出更平安的产品。

面对潜在的产品安全隐患与实现 DevSecOps 的层层挑战，如何推动“平安左移”、如何通过在 DevOps 的根底上安稳建设 DevSecOps 以保障开发平安，已成为企业研发团队须要重点关注的课题。

CODING x Xcheck，全面强化代码平安能力

CODING 代码扫描自凋谢试用以来，已累计为 5000+ 团队提供扫描服务，通过剖析代码仓库中的源代码，帮忙开发团队及时发现其中潜藏的代码缺点、安全漏洞以及不标准代码 ；并且主动生成问题列表，附带批改倡议， 便于团队成员疾速修复问题，晋升代码稳定性 ；还通过对代码进行度量，统计出构造异样简单的办法及反复代码供开发人员调整，进而 晋升代码可维护性。

而在助力企业建设 DevSecOps 的路线上，CODING 代码扫描也在一直深耕，本次更新在原有代码可靠性、代码标准扫描能力的根底上，针对代码平安进行了全面强化，集成腾讯 CSIG 自研动态利用平安测试工具 – Xcheck，凋谢腾讯外部弱小的研发能力，帮忙研发团队 精准检测业务代码，及时发现并躲避平安危险。

Xcheck 基于成熟的污点剖析技术，以及对形象语法树的精准剖解，通过奇妙优雅的形式实现污点的传递和跟踪。经测试，在 4 核 16G 的 Linux 云主机上，Xcheck 对我的项目的查看速度在 1w+ 行 /s，局部我的项目能够达到 2w+ 行 /s，同时通过对 Xcheck 投喂大量我的项目进行误报优化，目前 Xcheck 各语言的误报率已低于 10%，作为一个轻量化插件，Xcheck 在缩小对使用者的打搅下，可能更疾速精确地发现潜藏在代码中的平安危险，全方位帮忙研发团队平安生产代码，保障代码平安。

一键启用，为企业数字化资产保驾护航

当初基于 CODING 代码扫描，您就能够享受到 Xcheck 南征北战的代码平安剖析能力。返回 CODING，在「代码扫描 – 扫描计划」中一键启用 Xcheck 规定包即可开始进行代码平安检测，无需额定设置，操作简略便捷，目前已反对 Java 语言，Python、PHP、Go、JS 等语言将在 4 月陆续反对。

借助 CODING 代码扫描及 Xcheck 的弱小能力，开发人员可能提前发现并迅速采取行动解决安全漏洞，将平安危险左移至开发阶段解决，大幅缩小返修老本，缩短交付周期，帮忙团队更高效地开发出安全系数更高的产品，同时也防止了企业蒙受因利用安全事件导致的名誉及资产损失，为企业数字化资产保驾护航。

目前 CODING 代码扫描性能试用继续凋谢中 ，点击 浏览原文 即可立刻体验。关注 CODING 公众号，后续将会分享更多代码安全漏洞实战案例，助力您的团队更好地实际 DevSecOps，敬请期待！

举荐浏览：

1、CODING 帮忙文档 – 代码扫描性能介绍： _https://help.coding.net/docs/host/code-scan/introduce.html_

2、CODING 帮忙文档 – Xcheck 工具： _https://help.coding.net/docs/host/code-scan/xcheck.html_

3、理解 Xcheck 更多信息及代码平安审计相干技术，关注 Xcheck 公众号：

腾讯代码安全检查 Xcheck