检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 项目ID,每个CodeArts首页下的项目都有1个唯一的项目ID task_id 是 String 任务ID,即新建检查任务接口的返回值,每个CodeArtsCheck任务及其下的分支任务、通过API创建的增量任务都有1个唯一的任务ID 表2 Query参数 参数 是否必选 参数类型
日均百亿级扫描能力 日均百亿级扫描能力,支持大型企业超大规模代码检查 代码检查具备强大的高并发处理能力,在华为内部,日常15万+软件开发人员高频代码提交增量检查,每日凌晨所有代码仓定时检查,服务日均扫描百亿行级代码。 服务通过AZ容灾、跨region级容灾多活、支持过载保护、服务
M账号均可使用所有增强包相关的规则。 代码安全检查增强包对于扫描次数和扫描的代码行数没有任何限制,仅对代码检查任务并发数有限制,即,买1个增强包代表该租户账号可以扫描1个安全增强特性包规则的代码检查任务,其余任务需要排队等待;买2个增强包表示可同时扫描2个代码检查任务 ……买n个
CodeArts Check提供代码安全检查增强包的能力,其安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,如跨函数、跨文件、污点分析、语义分析等。
执行代码检查任务时提示,入库告警超30W限制。 可能原因 利用当前规则集扫描,显示问题较多。 处理建议 检查结果中展现了TOP10问题规则名称及其数量。您可根据任务的具体情况去除问题数较多的规则,使总问题数量降至30W以下后再次进行扫描。 父主题: 技术类问题
用户往往不熟悉工具提供的通用规则所能覆盖的全部场景。在为新开发的业务场景寻找适用的规则时需要耗费大量的时间,增加开发成本。 不同用户之间的代码差异大,研发无法实时掌握不同用户的具体需求,在开发规则过程中难以针对不同用户的业务代码场景来制定全面有效的工具规则。 本示例为您介绍如何使用自定义规则检查代码中存在调试代码的问题。
在“新问题起始时间”区域,单击设置新问题起始时间。 默认起始时间为当前任务第一次扫描成功的时间,起始时间之后扫描出的所有问题都将被划分为新问题。 配置源文件编码 设置文件的编码方式,源文件编码会影响系统识别的源码内容的完整性,系统默认编码为UTF-8。 在“源文件编码”区域,单击下拉框选择源文件编码。
不上传代码到云服务的情况下使用代码检查服务 应用场景 部分用户的代码有严格的保密机制,不允许将代码上传到外部网络,用户希望仅在信任的自有执行机上完成代码扫描服务。华为云CodeArts Check为此提供本实践的扫描方案,在不上传代码到云服务的情况下使用代码检查服务检查代码问题。
CodeArts Check插件检查功能介绍 扫描检查单文件、多文件、整个项目并查看扫描结果 单文件扫描检查:在当前打开的文件代码编辑区,单击鼠标右键,选择“CodeArts Check文件检查”。或者在项目的资源管理器界面里,鼠标移动到需要扫描的文件,单击鼠标右键,选择“CodeArts
将目标语言的开关设置为开启状态。 单击,选择已创建的自定义规则集。 自定义规则 最多支持创建10条自定义规则。 使用自定义规则扫描代码最多支持扫描10万行。仅适用于使用的规则集中只包含自定义规则。 使用自定义规则扫描10万行代码行最多时长1.5小时。仅适用于使用的规则集中只包含自定义规则。
代码检查服务的核心就是代码检查引擎,高效精准的代码检查引擎能够很好地帮助用户在开发早期快速、准确地发现代码问题,兼顾开发效率与产品质量。 代码检查引擎团队凝聚了国内40+博士、海外研究所50+专家、国内外10+老师合作成果,经过华为内部(15W+开发人员,日均500亿行扫描)大规模持续使用和打磨而成。
兼顾效率与质量 优秀的代码质量保障实践,往往将代码检查融入到开发作业流中,在用户代码编写、代码提交时进行自动化的审计检查,并对团队每日产出的代码进行持续编程规范和质量检查。 这一活动实践要求已是安全开发过程SDL、DevSecOps等众多优秀开发模式推荐进行的实践要求。 代码检查
配置代码检查任务自定义环境 当使用代码检查服务时,若常用的编译构建环境缺少您需要的依赖包、工具,无法满足您的使用需求时,您可通过自定义构建环境提供的基础镜像执行代码检查任务。 前提条件 已将自定义环境推送到镜像仓中,具体操作请参见制作镜像并推送到SWR仓库。 配置自定义镜像 基于项目入口访问CodeArts
用户往往不熟悉工具提供的通用规则所能覆盖的全部场景。在为新开发的业务场景寻找适用的规则时需要耗费大量的时间,增加开发成本。 不同用户之间的代码差异大,研发无法实时掌握不同用户的具体需求,在开发规则过程中难以针对不同用户的业务代码场景来制定全面有效的工具规则。 本示例为您介绍如何使用自定义规则检查代码中存在调试代码的问题。
单次检查支持扫描的问题数量 一个代码检查任务支持扫描的问题数量最多为300000。 租户自定义规则集数(个) 租户可以自定义的规则集数最大为1000。 租户创建代码检查任务数(个) 租户下可以创建的总任务数最大为50000。 单次代码检查最大时长 12小时。 支持的自定义规则数量
建供应链安全体系。 能力说明 提供跨函数、跨文件检查能力,提供污点分析检查能力。 支持注入类、信息泄露类(AccessKey)等TOP安全漏洞检查。 支持华为云编程规范,兼容支持CWE/HUAWEI/OWASP TOP 10/ISO 5055/SANS TOP 25/CERT/MISRA检查。
勾选指定文件路径时,则该指定路径下的文件将排除检查。 在“忽略的文件集合”区域,勾选无需进行检查的文件路径。设置完成后,执行代码检查任务,将按照设置排除选中的文件路径执行检查。 勾选的忽略文件对需要编译的文件和不需要编译的文件均生效。 不需要编译的文件:勾选忽略文件后,被忽略的文件不参与检查。
产品特性 自研代码检查引擎 支持五大业界主流标准和华为编程规范 支持主流开发语言 日均百亿级扫描能力 一站式问题闭环修复 “代码编写、代码合并、版本发布”三层缺陷防护 代码检查安全增强
查询任务执行状态 历史扫描结果查询 查询任务的已选规则集列表v2 查询任务的已选规则集列表v3 查询任务规则集的检查参数v2 查询任务规则集的检查参数v3 任务配置检查参数 修改任务规则集 查询任务检查失败日志 获取任务的目录树 任务配置屏蔽目录 查询任务的高级配置 任务配置高级配置
一站式问题闭环修复,问题修复效率倍增 开发团队实施代码检查活动时通常遇到问题分析和修复成本高(工具问题不易理解、问题分到具体开发人员费时费力、多版本情况下重复处理同一告警令开发人员厌倦工具)导致落地困难,这些原因很大程度影响了开发人员对检查工具的使用积极性。 代码检查服务提供问题分析处理三大能力,帮助开发团队高效、顺畅使用代码检查:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
