Codeup——践行安全左移的代码仓库

简介: 体验Codeup,云效的代码仓库管理中的安全检测功能。

1. 前言

最近看到阿里云云效的“1分钟代码漏洞自动检测与修复”体验,作为安全相关从业人员,深知代码安全的重要性,近几年供应链安全事件频发。云原生开发安全和安全左移已经成为网络安全热议的话题,从源头上杜绝安全问题,只能从代码入手。抱着好奇的态度体验了一下云效的1分钟代码漏洞自动检测与修复。下面就是我的体验报告,本人水平有限,有哪里写的不对,还请各位高手指点!


2. 功能体验

安全方面主要有这三方面的检测,敏感信息检测、依赖包漏洞检测、源码漏洞检测三个功能。

image.png

2.1 敏感信息检测

我们可以看到,触发方式有提交和合并代码方式。

检测规则是定义了62种敏感信息:

应用密钥 万事达 银行卡号 电话号码 手机号 邮箱 机动车信息 身份证信息 支付宝账号 访问令牌 缩写密码 通用缩写密码 缩写密钥加强版 缩写密钥 通用密码 信息熵 HerokuAPI密钥 SSH(DSA)私钥 AmazonMWS访问密钥 GoogleOAuth访问令牌 GmailAPI密钥 通用API密钥 SSH(EC)私钥 SSH私钥 PayPal访问令牌 Google云平台OAuth授权 PKCS私钥 Mailgun API 密钥 Slack令牌 StripeAPI密钥 GmailOAuth授权  GoogleAPI密钥  Square访问令牌 RSA私钥 SlackWebhook  GoogleDriveOAuth授权 Stripe限定API密钥  Github密钥  SquareOAuth密钥 通用密钥 AWSAPI密钥  Facebook访问令牌 Google云平台API密钥  YoutubeAPI密钥  Twitter访问令牌 Slack密钥 私密令牌  GoogleDriveAPI密钥  FacebookOAuth授权 AWS密钥 PGP加密私钥  TwilioAPI密钥  PicaticAPI密钥  通用密钥 YoutubeOAuth授权 LinkedIn用户ID Twitter用户ID  TwitterOAuth授权  Facebook用户ID LinkedIn密钥 阿里云访问密钥

这里面有常用的电话、手机、银行卡等,也有阿里、支付宝等信息,还有就是国外常用的网站Google、LinkedIn、Facebook、Amazon等敏感账号信息。

建议1:不知道为什么没有中国常用的网站账号信息,比如QQ、微博、微信等。

建议2:另外Facebook已经改名为Meta,这里的名称是否也要修改。

image.png

建议3:在扫描过程中,如下图,这里有一个问题,扫描过程没有进度条,如果是简单的项目还可以,对于大型Java项目,本身代码就比较复杂,Java构建的效率又不高,很容易扫描很长时间,如果没有进度条简直是个灾难!

image.png

2.2 依赖包漏洞检测

image.png

检测结果如下:我们可以看到检测出很多有漏洞的依赖引用。依赖包后面有收藏符号的,是有推荐的解决方案的。

image.png

随意点开一个有漏洞的依赖,详情非常全面,是那一次提交,依赖关系,有那些漏洞,推荐解决方案,展示的非常清晰。漏洞级别分为:BLOCKER: 高危漏洞;CRITICAL: 中危漏洞;MAJOR: 低危漏洞。

建议4:但是有一点,详情中只有CVE的漏洞编号,没有CNVD的漏洞编号,一般国内漏洞厂商,都会把2种漏洞编号都标注上。

image.png

2.3 源码漏洞检测

从描述可以看出,这个功能主要是防止一些异常、输入越界、各种类型的注入用的。可能也包括阿里巴巴Java编程规范中的内容。

image.png

3. log4j漏洞检测和一键修复

为了测试检测的效果,我上传了一个前一段很火的log4j漏洞,果然没有逃过codeup的安全检测。

image.png

在详情中看到了有自动修复功能,于是试了一下。

image.png

image.png

image.png

可以看到,是直接把代码中的有漏洞版本直接进行了修改。这个功能爆赞,如果能普及,可以大面积减少市面上的log4j漏洞。

image.png

4. 总结

Codeup虽然有一些小问题,但在使用上已经超出了我的预期,特别是体验了流水线的功能后,只能说丝滑!在最近的俄乌战争中我们也可以看到,GitHub开始按照国籍对账号进行限制,理由是这些国家违反了美国的贸易控制法律。被限制的账号所有人的国籍包括俄罗斯、伊朗、叙利亚、古巴等“受美国制裁”国家。在这种大背景下,如此好的体验,我详细Codeup可以成为github在国内的出色的替代者。

相关文章
|
运维 安全 数据可视化
免费托管代码到云效代码管理Codeup
本场景介绍如何提交代码到云效代码管理Codeup。云效Codeup提供免费、不限容量的云上代码托管服务,您无需担心计费问题。
|
5月前
|
敏捷开发 测试技术 持续交付
阿里云云效产品使用问题之代码仓库如何增量同步到codeup
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
5月前
|
敏捷开发 弹性计算 安全
阿里云云效产品使用问题之如何获取Codeup的代码仓库及其分支
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
6月前
|
Java Serverless Maven
云效代码管理问题之代码仓库配置需要评审如何解决
云效仓库是阿里云提供的代码托管和版本控制服务,支持Git等多种版本管理工具;本合集聚焦于云效仓库的使用技巧、团队协作流程以及常见问题解答,旨在帮助开发者更高效地进行代码管理和协作开发。
1842 0
|
11月前
|
开发工具 git
代码管理(三)
代码管理(三)
|
安全 架构师 BI
💬重磅来袭!云效代码管理 Codeup产品等你来评测!
体验云效代码管理 Codeup产品,写下原创评测,就有机会赢取Redmi Watch 3、开发者评测限量首发云小宝公仔、云效大礼包、开发者评测定制飞盘、30元猫超卡等诸多好礼! 更有机会获得阿里云社区首页展示一周,评测官奖杯、证书等荣誉,快来参与吧!
💬重磅来袭!云效代码管理 Codeup产品等你来评测!
|
安全 前端开发 Java
阿里云产品测评 云效代码管理 Codeup
阿里云产品测评 云效代码管理 Codeup
386 1
|
Java 应用服务中间件 开发工具
云效代码管理 Codeup
个人测评,图片你看不了的原因就赖语雀不好使
4966 0
云效代码管理 Codeup
|
安全
codeup
codeup
482 0