检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不上传代码到云服务的情况下使用代码检查服务 应用场景 部分用户的代码有严格的保密机制,不允许将代码上传到外部网络,用户希望仅在信任的自有执行机上完成代码扫描服务。华为云CodeArts Check为此提供本实践的扫描方案,在不上传代码到云服务的情况下使用代码检查服务检查代码问题。
该限制仅适用于规则集中只包含自定义规则。 浏览器 目前适配的主流浏览器类型包括: Chrome浏览器:支持和测试最新的3个稳定版本 Firefox浏览器:支持和测试最新的3个稳定版本 Edge浏览器:Win10默认浏览器,支持和测试最新的3个稳定版本 推荐使用Chrome、Firefox浏览器,效果会更好。
在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做更多的事情,因为该请求被设置为拒绝访问,建议直接修改该请求,不要重试该请求。
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CT
身份认证与访问控制 身份认证 用户访问代码检查服务的方式有多种,包括代码检查用户界面、API、SDK,无论访问方式封装成何种形式,其本质都是通过代码检查提供的REST风格的API接口进行请求。 代码检查的接口需要经过认证请求后才可以访问成功。代码检查支持两种认证方式: Token
问题现象 执行任务失败,提示异常信息:调用CodeArts Repo失败:未授权。 原因分析 无Repo代码仓访问权限。 处理方法 参考管理CodeArts权限,为成员添加代码仓访问权限。 父主题: 技术类问题
单击任务名称时提示权限不足 问题现象 在代码检查服务任务列表中,单击任务名称,提示权限不足。 原因分析 操作的用户项目权限不足,当账号的项目权限为“测试经理”、“测试人员(含跨租户)”、“浏览者(含跨租户)”时,没有访问查看代码检查任务的权限。 处理方法 联系项目管理员(项目创建者、项目经理)修改当前账号角色。
Check)是基于云端实现的代码检查服务。建立在多年自动化源代码静态检查技术积累与企业级应用经验的沉淀之上,为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力,提供全面质量报告、便捷闭环处理问题,帮助企业有效管控代码质量,助力企业成功。 产品形态包括:云服务和IDE插件。同时,还提供具有深度检查能力的代码检查安全增强包。
HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分
Check窗口,选择“Setting”页签,查看配置。 若未登录,请先登录再使用查看配置,单击打开“Setting”配置界面。若未登录,“Setting”界面提示“单击链接登录后获取配置数据(…)”等相关信息,单击提示下连接“Login config”跳转到登录页面登录。 若已登录,“Setting”页面提示“设置页面已移动到底部CodeArts
以项目入口方式访问CodeArts Check服务时默认填写,无需手动填写。 以服务入口访问时需根据实际情况选择新建项目中创建的项目。 代码源 选择Repo,检查代码托管服务中的代码质量。 任务名称 代码检查任务名称,可自定义。 支持中英文,数字,点,下划线“_”和连接符“-”。 字符长度范围为1~128。
配置代码检查任务集成服务 当代码托管中有分支合并时,在代码检查服务中可以设置自动检查代码检查任务,并生成一个子任务,即代码仓库中有分支合并,就会重新生成一个代码检查子任务。 配置MR检查状态 基于项目入口访问CodeArts Check服务首页。 进入代码检查页面,在任务列表中,单击任务名称。
变更代码检查服务规格 变更代码检查服务套餐规格 代码检查服务支持变更套餐规格,变更影响请参见变更配置后对计费的影响。 登录代码检查控制台。 找到代码检查服务套餐,单击“变更”。 根据需要选择变更规格、变更类型,勾选同意声明,单击“下一步”。 若变更类型选择“续费变更”,则还需要选择续费时长。
支持 攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。 不支持 支持 LDAP注入 支持 支持 利用用户输入的参数生成非法LDAP查询,盗取用户信息。 不支持 支持 不安全的反射 支持 支持 攻击者利用外部输入绕过身份验证等访问控制路径,执行非法操作。 不支持 支持
您也可以单击“导出”,导出该规则集中已启用的规则到本地查看规则详情。 修改默认规则集 初次使用代码检查服务时,每种编程语言都设置一个默认的检查规则集,如表1所示。如果用户需要修改各个语言的默认检查规则集,可参考以下指导操作。 以项目入口访问代码检查服务,规则集列表中才会为每种检查语言预置默认规则集。 在“规则集”页面的“语言”列筛选需要配置的语言。
使用流程说明 流程 说明 购买CodeArts Check 指导您如何开通代码检查服务。 配置CodeArts Check项目级角色权限 为您介绍如何配置CodeArts Check服务项目级权限以及访问代码检查服务首页的方式。 创建代码检查任务 您可创建不同代码源的代码检查任务。 配置代码检查任务
您可通过配置私有依赖库作为私有依赖下载源。当CodeArts Check需要引用第三方服务的私有依赖仓时,需通过服务扩展点连接,进行数据获取。 在“配置私有依赖仓扩展点”区域,单击“扩展点管理”,具体操作请参见新建nexus repository服务扩展点。 配置完成后,单击“扩展点”下拉框,选择新建的扩展点。
前提条件 已创建代码检查任务。 如果创建的是Repo代码源检查任务,则需要有代码仓库的访问权限。参考成员管理,可添加代码仓访问权限。 执行代码检查任务 基于项目入口访问CodeArts Check服务首页。 单击代码检查任务所在行的,根据页面提示等待任务执行完成。 检查代码仓其他分支的代码
本实践需要依赖使用的其他服务:代码托管服务,用于存储实践中项目所使用的代码。 约束限制 使用自定义执行机功能为受限功能,如需使用,请联系技术支持。 需已具备CodeArts Repo服务的操作权限,具体操作可参考授权使用CodeArts Repo服务。 前提准备 已参考自定义购买ECS购买本实践使用的弹性云服务器。
单击页面左上角,在服务列表中选择“开发与运维 > 代码检查 CodeArts Check”。 代码检查服务页面有两种访问方式:首页入口和项目入口。 首页入口 单击“立即使用”,进入代码检查服务首页。该页面展示的是与当前用户相关的代码检查任务列表。 项目入口 单击“立即使用”,进入代码检查服务首页。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
