V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding.NET 轻量级社交
开源项目广场
使用帮助
意见反馈
CodingNET
V2EX  ›  Coding

CODING 增强安全漏洞扫描能力,助力团队“安全左移”

  •  
  •   CodingNET · 2021-04-02 16:54:35 +08:00 · 1117 次点击
    这是一个创建于 1331 天前的主题,其中的信息可能已经有所发展或是发生改变。

    代码安全问题频现,防控迫在眉睫

    2010 年,大型社交网站 rockyou.com 被曝存在 SQL 注入漏洞,黑客利用此漏洞获取到 3200 万用户记录; 2015 年,英国电话和宽带供应商 TalkTalk 被一名 15 岁的黑客利用 SQL 注入漏洞进行攻击,泄露近 400 万客户资料; 2018 年,万豪泄漏 3.39 亿客人个人信息,被处以 1840 万英镑(约合人民币 1.6 亿元)罚款。

    根据 WhiteHat Security 的一项研究表明,各个行业所使用的应用程序中,至少有 50 % 包含一个或多个严重的可利用漏洞,这些层出不穷的安全漏洞将会对企业的生产运营构成重大威胁。但传统的静态应用程序安全性测试( SAST )往往需要较长的扫描分析时间,稍大的项目经常需要花费好几小时来进行扫描,实时性较差,在版本迭代快速的 Web 应用开发中严重拖慢整条流水线;同时误报率也较高,同一个漏洞多次报警的情况更是常有发生,开发团队需要耗费大量资源来确认并去除这些误报,导致团队无法敏捷地融入到 DevSecOps 中。

    DevSecOps 是 Gartner 在 2012 年就提出的概念。它的目标是将安全嵌入到 DevOps 的各个流程中去(需求,架构,开发,测试等),从而实现安全的左移,让所有人为安全负责,将安全性从被动转变为主动,最终让团队可以更快速地开发出更安全的产品。

    面对潜在的产品安全隐患与实现 DevSecOps 的层层挑战,如何推动“安全左移”、如何通过在 DevOps 的基础上平稳建设 DevSecOps 以保障开发安全,已成为企业研发团队需要重点关注的课题。

    CODING x Xcheck,全面强化代码安全能力

    CODING 代码扫描自开放试用以来,已累计为 5000+ 团队提供扫描服务,通过分析代码仓库中的源代码,帮助开发团队及时发现其中潜藏的代码缺陷、安全漏洞以及不规范代码;并且自动生成问题列表,附带修改建议,便于团队成员快速修复问题,提升代码稳定性;还通过对代码进行度量,统计出结构异常复杂的方法及重复代码供开发人员调整,进而提升代码可维护性

    img

    而在助力企业建设 DevSecOps 的道路上,CODING 代码扫描也在不断深耕,本次更新在原有代码可靠性、代码规范扫描能力的基础上,针对代码安全进行了全面强化,集成腾讯 CSIG 自研静态应用安全测试工具 - Xcheck,开放腾讯内部强大的研发能力,帮助研发团队精准检测业务代码,及时发现并规避安全风险

    img

    Xcheck 基于成熟的污点分析技术,以及对抽象语法树的精准剖解,通过巧妙优雅的方式实现污点的传递和跟踪。经测试,在 4 核 16G 的 Linux 云主机上,Xcheck 对项目的检查速度在 1w+ 行 /s,部分项目可以达到 2w+ 行 /s,同时经过对 Xcheck 投喂大量项目进行误报优化,目前 Xcheck 各语言的误报率已低于 10%,作为一个轻量化插件,Xcheck 在减少对使用者的打扰下,能够更快速准确地发现潜藏在代码中的安全风险,全方位帮助研发团队安全生产代码,保障代码安全

    img

    一键启用,为企业数字化资产保驾护航

    现在基于 CODING 代码扫描,您就可以享受到 Xcheck 身经百战的代码安全分析能力。前往 CODING,在「代码扫描 - 扫描方案」 中一键启用 Xcheck 规则包即可开始进行代码安全检测,无需额外设置,操作简单便捷,目前已支持 Java 语言,Python 、PHP 、Go 、JS 等语言将在 4 月陆续支持。

    img

    借助 CODING 代码扫描及 Xcheck 的强大能力,开发人员能够提前发现并迅速采取行动解决安全漏洞,将安全风险左移至开发阶段解决,大幅减少返修成本,缩短交付周期,帮助团队更高效地开发出安全系数更高的产品,同时也避免了企业遭受因应用安全事件导致的声誉及资产损失,为企业数字化资产保驾护航。

    目前 CODING 代码扫描功能试用持续开放中,点击阅读原文即可立即体验。关注 CODING 公众号,后续将会分享更多代码安全漏洞实战案例,助力您的团队更好地实践 DevSecOps,敬请期待!

    推荐阅读:

    1 、CODING 帮助文档 - 代码扫描功能介绍: https://help.coding.net/docs/host/code-scan/introduce.html

    2 、CODING 帮助文档 - Xcheck 工具: https://help.coding.net/docs/host/code-scan/xcheck.html

    3 、了解 Xcheck 更多信息及代码安全审计相关技术,关注 Xcheck 公众号:

    腾讯代码安全检查 Xcheck

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2838 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:28 · PVG 22:28 · LAX 06:28 · JFK 09:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.