代码检查 CODEARTS CHECK-什么是代码检查:代码安全检查增强包介绍

时间:2024-11-01 10:01:22

代码安全检查增强包介绍

华为代码安全检查增强包里安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,比如,跨函数、跨文件、污点分析、语义分析等 。

当前代码安全检查增强包一共有284条规则,涵盖Java语言61个, C++ 语言199个, Go语言8个, Python语言16个。

代码安全检查增强包里安全检查能力支持的检查项如下:

  • 覆盖符合污点分析传播模型的漏洞检查,如命令注入、SQL注入、路径遍历、信息泄露等。
  • 覆盖业界常见的安全漏洞检测项,如命令注入、LDAP注入、SQL注入、开放重定向漏洞、数值处理、信息泄露等。
  • 支持密码、API秘钥和访问令牌硬编码检查能力。
  • 支持AcessKey泄露检查。

如果某租户购买了1个增强包,该租户账号及其所有 IAM 账号均可使用所有增强包相关的规则。

代码安全检查增强包对于扫描次数和扫描的代码行数没有任何限制,仅对代码检查任务并发数有限制,即,买1个增强包代表该租户账号可以扫描1个安全增强特性包规则的代码检查任务,其余任务需要排队等待;买2个增强包表示可同时扫描2个代码检查任务 ……买n个增强包表示可同时扫描n个代码检查任务。当前最多可以买100个。购买方法可参考购买增值特性

增强包不可单独购买,需要在购买了专业版或企业版CodeArts之后才会生效,如果购买的CodeArts套餐过期,代码检查特性增强包会失效。

support.huaweicloud.com/productdesc-codecheck/devcloud_pdtd_30001.html