乐趣区

关于代码管理:云效依赖漏洞检测高效杜绝代码安全隐患

云效依赖破绽检测,高效杜绝代码安全隐患,据不齐全统计 78% 的企业都在应用开源,但这些开源依赖包的安全性呢?开源依赖提供方通常没有较多的估算进行安全性测试,危险系数极大。应用云效提供依赖包破绽检测服务,可能杜绝代码安全隐患。

限定语言:Java、Python、Golang、Node.js

为什么须要关注依赖包破绽

在开发过程中应用依赖包破绽检测越来越常见,无论是二方还是三方依赖,它帮忙咱们共享成绩,重复使用别人开发的软件库,让咱们可能专一于本人的翻新,进而推动技术的疾速倒退。

针对三方依赖包场景,据不齐全统计 78% 的企业都在应用开源,然而他们是否有关注过这些开源依赖包的安全性呢?开源依赖提供方通常没有较多的估算进行安全性测试,黑客的次要攻打指标也是这些开源包内存在的破绽,一旦击破一个,其影响范畴很大。

为了杜绝安全隐患,企业须要做到以下三点:

  1. 理解工程都应用了哪些依赖包;
  2. 删除不须要的依赖包;
  3. 检测并修复以后依赖的已知破绽;

依赖包破绽分级
云效 Codeup 提供依赖包破绽检测服务,帮忙企业不便的查看其工程依赖包的安全性。
依赖包破绽等级分为:BLOCKER,CRITICAL,MAJOR,等级划分依据 NVD 国家破绽数据库 CVSS 分数评估制订。
BLOCKER: 高危破绽,倡议立刻修复;
CRITICAL: 中危破绽,倡议尽快修复;
MAJOR: 低危破绽;

开启扫描

代码库管理员角色有权限开启或敞开扫描。
点击代码库导航中「平安」模块,即①,展现以后可用平安服务列表。如果你是代码库管理员,可点击②间接返回库设置开启服务;如果不具备库管理器权限,可分割代码库管理员开启。

管理员点击②后进入代码库设置,抉择「集成与服务」-「依赖包破绽检测」进行开启。
在弹出的「用户承诺书」窗口中,浏览并勾选「我已浏览相干协定并确认开明服务」,而后点击「确认」后开启服务。


触发形式:依赖包破绽检测目前反对「代码提交」触发主动扫描。
检测参数:目前反对的检测语言类型

  • Java
  • Golang
  • Python
  • Node.js

对于 Java 语言,须要执行编译命令以构建打包剖析,Codeup 已为你提供了默认编译命令,如无非凡传参要求,可间接运行应用。
开启后返回平安模块,可见依赖包破绽检测服务:

执行扫描
开启服务后将主动触发「默认分支」的扫描行为,其余分支须要被动触发。点击①切换分支,若以后分支未执行过扫描,可点击②手动触发一次扫描:
查看扫描后果
以后分支存在扫描后果时展现如下,每行为一个存在破绽问题的依赖包。

因为此处扫描均是基于提交进行的,点击①处可查看以后扫描后果对应的提交详情;点击②处可查看单条存在破绽的依赖包详情:

最佳修复计划举荐
开展依赖包问题详情,当存在修复计划的时候,①处将为你生成最佳举荐,以帮忙你疾速解决依赖包平安危险问题:

破绽详情
②处展现了以后依赖包内波及的全副破绽问题列表,点击可开展破绽的具体阐明:

提交列表查看
当存在新提交时,零碎将主动执行扫描,通过扫描后果卡片页面能够疾速查看依赖包破绽检测后果:

综合剖析应用云效依赖破绽检测,可能高效杜绝代码安全隐患,云效代码治理 codeup 是阿里云出品的一款企业级代码治理平台,提供代码托管、代码评审、代码扫描、品质检测等性能,全方位爱护企业代码资产,帮忙企业实现平安、稳固、高效的研发治理。

退出移动版