在线捉虫:1分钟代码自动检测体验
1.提交源代码
前往【云效代码管理Codeup】
点击【新建代码库】或点击【导入代码库】,上传你希望检测的代码
我们以示例代码为例:https://code.aliyun.com/yunxiao-demo-code/detect-master.git
2.开启代码检测
选择【导入代码库】-【URL导入】,源码代码库地址复制上面的链接,点击【确定】,完成代码导入。
进入刚才创建好的代码库,点击【设置】-【集成与服务】,开启代码质量、代码安全下的所有检测能力开关。
注意:依赖包漏洞检测和源码漏洞检测,需要勾选【设置Java检测参数】
3.查看检测结果
根据代码量的不同,代码检测花费时间也不同。以detect-master为例,预计1-2分钟即可看到检测结果。
你也可以在【源文件】、【提交】或【分支】的任何一个页面,看到检测运行结果,点击可以进入查看详情。
云效Codeup将检测结果分为3类:
· BLOCKER: 高风险,建议立即修复;
· CRITICAL: 中风险,建议尽快修复;
· MAJOR: 低风险
你也可以在【安全】页面,看到【敏感信息】、【依赖包漏洞】、【源码漏洞】等检测结果。
敏感信息检测结果
依赖包漏洞检测结果
源码漏洞检测结果
4.测一测你企业的代码安全分
前面,我们对代码进行了安全层面的各项检测,那么站在企业纬度,如何评估企业的代码安全性呢?
点击【Codeup图标】或【首页】,回到Codeup首页
点击左下角的【企业设置】-【安全总览】,如下图所示,我们即可看到,云效Codeup还提供了企业安全评估雷达图。
雷达图里,我们可以看到,云效Codeup从【代码内容安全】、【权限控制】、【成员行为安全】3大层面,对企业代码安全作了评分。
你也可以根据右侧指引,进行相应设置,提升代码安全能力。
5.拓展
除了云效代码管理Codeup外,阿里云云效还免费提供项目协作、持续交付流水线、制品仓库、云端代码开发、测试管理、知识库、效能洞察等一站式DevOps工具链。
前往【云效官网】了解更多:
实验链接:https://developer.aliyun.com/adc/scenario/4958ca2e7cda4a70b8fb714fcc956369