代码质量和安全使用代码检测提升

本文涉及的产品
云效 DevOps 流水线,基础版人数 不受限
云效 DevOps 测试管理,基础版人数 不受限
云效 DevOps 项目协作,基础版人数 不受限
简介: 云效代码管理提供多种内置扫描服务,确保代码质量与安全性。面对编码不规范、敏感数据泄露、依赖项安全漏洞等问题,该服务从代码提交到合并全程保驾护航。不仅依据《阿里巴巴 Java 开发手册》检查编码规范,还利用先进算法智能推荐代码补丁,检测敏感信息及依赖包漏洞。用户可在每次提交或合并请求时选择自动化扫描,快速定位并解决问题,提升研发流程的稳定性与安全性。立即体验云效代码管理,保障代码健康。

1 、用户的诉求或问题
•编码不规范:开发者专业度有限,特别是依赖外包团队的情况,业务代码通常没有通过细致的设计,也很难保证兼容性和扩展性,存在隐藏的缺陷和故障风险;

•敏感数据泄露:开发者缺乏安全意识,企业的敏感信息直接编写到代码中,可能造成敏感信息的外流,进而使得不法分子有机可乘,造成企业损失;

•依赖项存在安全漏洞:代码中免不了引入二方或三方的依赖包,特别是引入开源依赖包的场景下,很可能自身代码保护周全,但是依赖的代码存在安全漏洞,使得不法分子可以通过这些漏洞发起攻击;代码效果参考:http://www.ningluan.com/sitemap/post.xml

•代码优化:开发者编写了代码,期望能够得到专业的代码优化建议;

2、开启代码扫描服务
云效代码管理内置了多种扫描服务,为了保证每次提交都能及时的获取扫描结果,建议在创建代码库后,立即前往代码库「设置」-「集成与服务」开启自动化扫描服务。

说明
立即体验:云效代码管理

扫描1
点击期望开启服务右侧的开关,确认授权后服务成功启用。

扫描2
启用时可以选择触发方式:提交触发或合并请求触发,部分服务仅支持一种触发方式。

「提交触发」在每次提交后,将自动触发相关分支的全量扫描,即扫描分支下的所有内容;

「合并请求触发」在创建或更新合并请求后,将自动触发源/目标分支的增量扫描,即扫描源/目标分支变更的内容(Diff);

如不再使用扫描服务,点击服务右侧开关关闭即可。

接下来依次介绍上述四种扫描服务:

(1)代码质量——Java 开发规约

《阿里巴巴 Java 开发手册》是阿里内部 Java 工程师所遵循的开发规范,涵盖编程规约、单元测试规约、异常日志规约、MySQL 规约、工程规约、安全规约等,这是近万名阿里 Java 技术精英的经验总结,并经历了多次大规模一线实战检验及完善。根据约束力强弱,规约依次分为强制、推荐、参考三大类:

【强制】必须遵守。是不得不遵守的约定,违反本约定或将引起严重的后果。

【推荐】尽量遵守。长期遵守这样的规则,有助于系统稳定性和合作效率的提升。

【参考】充分理解。技术意识的引导,是个人学习、团队沟通、项目合作的方向。

Java 代码规约扫描使用《阿里巴巴 Java 开发规约》插件扫描 Java 规约问题。

(2)代码质量——代码补丁智能推荐

缺陷检测和补丁推荐几十年来一直是软件工程领域的难题,又是研究者和一线开发者最为关心的问题之一,这里讲的缺陷不是网络漏洞、系统缺陷,而是隐藏在代码中的缺陷。帮助开发者识别这些缺陷,并进行修复,能够大幅提升软件质量。

基于业界和学术界较为流行的缺陷检测手段,并分析和规避其局限性,云效代码管理的算法工程师们提出了一种新的算法,实现更加精准和高效的分析代码缺陷并推荐优化方案,该算法已被国际软件工程大会(ICSE)收录。

代码补丁推荐服务目前应用于合并请求的代码自动扫描场景,扫描输出优化推荐方案,问题等级仅包含 MAJOR 类型:建议修复的代码缺陷。

(3)代码安全——敏感信息检测

敏感信息检测功能,可以检测代码库中的敏感凭证和密钥,比如 API keys 等信息。集成在合并请求代码评审阶段,可以有效防止敏感信息意外提交。

敏感信息问题等级分为:BLOCKER, CRITICAL, MAJOR

BLOCKER: 通过规则扫描出来的可能性很高的明文问题;

CRITICAL: 通过信息熵模型得出的可能性较高的潜在问题;

MAJOR: 用于测试的敏感信息字段;

(4)代码安全——依赖包漏洞检测

为了杜绝安全隐患,企业需要做到以下三点:

1.了解工程都使用了哪些依赖包;

2.删除不需要的依赖包;

3.检测并修复当前依赖的已知漏洞;

依赖包漏洞检测服务帮助企业方便的检查其工程依赖包的安全性。

依赖包漏洞等级分为:BLOCKER, CRITICAL, MAJOR,等级划分根据国家漏洞数据库CVSS 分数评估制定。

BLOCKER: 高危漏洞,建议立即修复;

CRITICAL: 中危漏洞,建议尽快修复;

MAJOR: 低危漏洞;

3、提交代码执行检测
为了保证代码问题不被引入生产环境,越早进行检查,引入的风险越小。因此,建议能够在每次提交时都进行代码检测,从起点发现并扼杀问题,保障后续应用研发流程的稳定性。

开启检测服务时,勾选触发方式的「代码提交触发扫描」,如图①:

扫描4
此后库内的每次提交都会自动执行对应的自动化检测,检测当前新提交的所有文件,可在源文件或提交页面查看检测结果:

扫描5扫描6

可点击检测服务展开问题详情查看,Blocker 级别的问题建议立即解决,这类问题容易引起故障或安全漏洞:

扫描6
4、合并请求执行检测
开启检测服务时,勾选触发方式的「合并请求触发扫描」,如图②:

扫描7
此后库内的每次创建合并请求或合并请求源分支有新提交,都会针对变更文件自动执行对应的自动化检测,保证新增期望合并至目标分支的代码质量和安全。

可在合并请求列表和详情页面查看检测结果:

saomiao1扫描2
点击合并请求详情的检测结果详情,可以跳转代码行内查看具体问题代码:

saomiao3
5、安全检测
针对安全类问题,通常需要统计或追溯历史,因此云效代码库中提供了专门的安全模块,用于承载检测出的全部问题,并记录了已解决的历史数据。

若未开启过安全类检测服务,可以通过安全模块前往代码库设置-「集成与服务」中开启。

说明
立即体验:云效代码管理

saomiao1.1
开启后,可以在当前页查看各分支检测出的安全问题:

saomiao1.2
同样,可点击问题名称查看详情和推荐的解决方案:

saomiao1.3
TIPS:针对敏感信息检测,若部分文件希望跳过扫描,可以使用文件白名单的功能,白名单内的文件将不被检测:

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
SVN版本控制系统
SVN是现在软件开发之中的主流软件版本控制工具,在工作之中利用SVN可以有效的解决多人开发的代码管理问题,本课程将为读者讲解SVN服务器的配置以及基于MyEclipse的SVN客户端插件的配置与使用,并且在讲解之中着重讲解了冲突的产生于解决。
相关文章
|
6月前
在代码优化过程中,常见的错误和bug包括以下几点
在代码优化过程中,常见的错误和bug包括以下几点
|
监控 前端开发 JavaScript
AST 代码扫描实战:如何保障代码质量
2020 年 618 大促已经过去,作为淘系每年重要的大促活动,淘系前端在其中扮演着什么样的角色,如何保证大促的平稳进行?又在其中应用了哪些新技术?淘系前端团队特此推出「618 系列|淘系前端技术分享」,为大家介绍 618 中的前端身影。 本篇来自于频道与D2C智能团队的菉竹,为大家介绍本次 618 大促中是如何用代码扫描做资损防控的。
3270 0
AST 代码扫描实战:如何保障代码质量
|
4月前
|
编译器 C++ Windows
如何快速提高代码的质量
如何快速提高代码的质量
|
6月前
|
弹性计算 Shell 开发工具
自动化代码质量检查
【4月更文挑战第30天】
34 0
|
6月前
|
监控 算法 安全
深入白盒测试:静态分析与代码质量保障
【4月更文挑战第2天】 在软件测试的众多技术中,白盒测试以其对内部结构和逻辑的透明性而著称。本文旨在探讨白盒测试中的一项关键技术—静态分析,它如何帮助我们确保代码的质量,以及它在现代软件开发周期中的重要性。通过深入分析静态分析工具的使用和结果解读,我们揭示了这一技术如何提高代码的健壮性和可靠性,减少运行时错误,并优化性能。文章还将讨论将静态分析集成到持续集成/持续部署(CI/CD)流程中的最佳实践,以及如何有效地利用反馈来改进代码质量。
104 1
|
6月前
|
JSON 缓存 前端开发
编写代码前,如何规避尽可能多的前端bug?
编写代码前,如何规避尽可能多的前端bug?
67 0
|
jenkins Java Linux
SonarScanner有效检查代码质量
sonar 是一个用于代码质量管理的开放平台,支持Windows、Linux、Mac。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具以及持续集成工具,是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便的不同规模和种类的工程进行代码质量管理。
245 0
SonarScanner有效检查代码质量
|
机器学习/深度学习 算法 测试技术
智能遍历测试在回归测试与健壮性测试的应用
首先来看业界用的较早也是经常听过的一款工具—— Monkey。这是 Android 官方提供的一个工具。谷歌原本设计这款工具是为了对 App 进行压力测试的。谷歌早期在设计 Android 的时候,Android 需要响应滑动、输入、音量、电话等事件,早期 activity 设计不完善的时候,谷歌希望测试 activity 的性能,把所有的数据批量化的输出给 activity,看 activ
|
XML Java 测试技术
如何更好的做单元测试并用它来提升代码质量(上)
> 一个使用mockito和spring-test的例子 > 可以在:`https://github.com/weipeng2k/mockito-sample`找到示例。        Java单元测试框架在业界非常多,以JUnit为事实上的标准,而JUnit只是解决了单元测试的基本骨干,而对于Mock的支持却没有。
1435 0
|
Java 测试技术 数据格式
如何更好的做单元测试并用它来提升代码质量(下)
## 现代化的spring-test使用方式 > 以下例子可以在`javaconfig-spring-test`中找到。        在`classic-spring-test`中演示的单元测试,还是用配置文件的方式,但是从Spring4之后,官方就鼓励使用Java的方式对spring进行配置,而不是用以前那
1983 0