代码检查 CODEARTS CHECK-代码检查安全增强
代码检查安全增强
CodeArts Check提供代码安全检查增强包的能力,其安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,如跨函数、跨文件、污点分析、语义分析等。
当前代码安全检查增强包一共有284条规则,涵盖Java语言61个, C++ 语言199个, Go语言8个, Python语言16个。
检测项 |
OWASP TOP |
CWE TOP |
详细描述 |
基础版/专业版 |
代码安全增强包 |
---|---|---|---|---|---|
命令注入 |
支持 |
支持 |
攻击者利用外部输入构造系统命令,通过可以调用系统命令的应用,实现非法操作的目的。 |
支持 |
支持 |
路径遍历 |
不支持 |
支持 |
攻击者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。 |
不支持 |
支持 |
SQL注入 |
支持 |
支持 |
攻击者利用事先定义好的查询语句,通过外部输入构造额外语句,实现非法操作的目的。 |
支持 |
支持 |
未受控的格式化字符串 |
不支持 |
支持 |
攻击者可利用格式化字符串漏洞实现控制程序行为和信息泄露。 |
不支持 |
支持 |
跨站脚本攻击(XSS) |
支持 |
支持 |
攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。 |
不支持 |
支持 |
LDAP注入 |
支持 |
支持 |
利用用户输入的参数生成非法LDAP查询,盗取用户信息。 |
不支持 |
支持 |
不安全的反射 |
支持 |
支持 |
攻击者利用外部输入绕过身份验证等访问控制路径,执行非法操作。 |
不支持 |
支持 |
开放重定向漏洞 |
不支持 |
支持 |
攻击者可通过将跳转地址修改为指向恶意站点,即可发起网络钓鱼、诈骗甚至窃取用户凭证等。 |
不支持 |
支持 |
XPath注入 |
支持 |
支持 |
攻击者利用外部输入附带恶意的查询代码,用于权限提升等。 |
支持 |
支持 |
数组索引验证不正确 |
不支持 |
支持 |
造成越界读取内存,可能引发信息泄露或者系统崩溃。 |
不支持 |
支持 |
空指针解引用 |
不支持 |
支持 |
会造成不可预见的系统错误,导致系统崩溃。 |
支持 |
支持 |
日志中信息泄露 |
不支持 |
支持 |
服务器日志、Debug日志中的信息泄露。 |
不支持 |
支持 |
消息中信息泄露 |
不支持 |
支持 |
通过错误消息导致的信息暴露。 |
支持 |
支持 |
- 代码检查工具_代码检查平台_代码检查CodeArts Check-华为云
- 代码检查快速入门_ 代码检查操作流程_代码检查CodeArts Check-华为云
- 代码检查_代码检查如何设置规则集_代码检查CodeArts Check-华为云
- 如何进行软件代码检查_ 代码检查的特性_代码检查CodeArts Check-华为云
- 软件开发代码检查的作用_软件开发生产线_代码检查CodeCheck-华为云
- 移动开发平台_SAAS平台_基础软件_低代码开发平台
- 软件开发生产线_软件开发生产线有哪些_软件开发生产线工具
- 简单快速使用软件开发生产线 _软件开发生产线_软件开发-华为云
- 快速上手流水线
- 软件开发生产线 HE2E DevOps实践