检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
购买CodeArts Check 前提条件 已注册华为云并实名认证,如果还没有华为账号,请参考以下步骤创建。 打开华为云网站。 单击“注册”,根据提示信息完成注册。 注册成功后,系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 购买CodeArts Check须知
在开发早期快速、准确地发现代码问题,兼顾开发效率与产品质量。 代码检查引擎团队凝聚了国内40+博士、海外研究所50+专家、国内外10+老师合作成果,经过华为内部(15W+开发人员,日均500亿行扫描)大规模持续使用和打磨而成。 覆盖了业界主流开发语言,针对代码的可读、可维护、安全
单击,在代码托管中新建MR请求。 合并分支相关操作请参见代码托管用户指南。 单击,通过下拉框中,可查看所有的MR触发代码检查的历史记录。 配置代码提交时执行 勾选“代码提交时执行”,表示对代码仓提交代码时会触发执行代码检查任务。 仅对已创建任务的分支有效。 单击“保存”。 父主题: 配置代码检查任务
代码检查 CodeArts Check”。 代码检查服务页面有两种访问方式:首页入口和项目入口。 首页入口 单击“立即使用”,进入代码检查服务首页。该页面展示的是与当前用户相关的代码检查任务列表。 项目入口 单击“立即使用”,进入代码检查服务首页。 单击导航栏“首页”。 单击需要查看的项目名称。
果超出设置的门禁阈值,则表示当前项目还不具备生产条件。 门禁质量设置支持租户级、项目级以及任务级,优先级为租户级 > 项目级 > 任务级。入口分别如下: 租户级:进入代码检查服务首页,选择“配置中心”,默认显示质量门禁详情。 项目级:进入项目详情页面,选择“代码 > 代码检查> 配置中心
通知设置支持项目级和任务级,入口分别如下: 项目级:进入项目详情页面,选择“代码 > 代码检查 > 配置中心 > 通知管理”。 任务级:进入代码检查详情页面,选择“设置 > 通知管理”。本节以任务级通知设置为例介绍操作步骤。 配置代码检查任务消息通知 基于项目入口访问CodeArts Check服务首页。
建步骤。 基于项目入口访问CodeArts Check服务首页。 在代码检查页面,单击“新建任务”,在“新建任务”页面,参考表1配置参数后单击“新建任务”。 表1 Repo代码源检查任务参数说明 参数名称 参数说明 是否必填 归属项目 任务所属项目。 以项目入口方式访问CodeArts
的最后一次提交者。 CWE 按照安全类规则名筛选代码问题。 设置完筛选条件后,在右侧区域对检查问题可进行以下操作。 如果该问题已解决,单击“待处理”选择“已解决”;如果该问题无需处理,单击“待处理”选择“忽略问题”,忽略问题时需提交评论。 单击“负责人”,可将此问题提交至其他负责人。
001 B:0.001 < 健康度 <=0.005 C:0.005 < 健康度 <=0.01 D:健康度 > 0.01 查看徽标状态 基于项目入口访问CodeArts Check服务首页。 在任务列表中,单击任务名称。 进入“代码检查详情”页面,选择“设置 > 徽标状态”。 当前仅支
根据实际需要,设置代码检查任务的执行计划,定时执行默认分支的检查任务。 建议在非流水线使用情况下进行配置。 配置当天时间间隔必须在5分钟以上。 配置执行计划 基于项目入口访问CodeArts Check服务首页。 进入代码检查页面,在任务列表中,单击任务名称。 进入“代码检查详情”页面,选择“设置 > 执行计划”。
日均百亿级扫描能力 日均百亿级扫描能力,支持大型企业超大规模代码检查 代码检查具备强大的高并发处理能力,在华为内部,日常15万+软件开发人员高频代码提交增量检查,每日凌晨所有代码仓定时检查,服务日均扫描百亿行级代码。 服务通过AZ容灾、跨region级容灾多活、支持过载保护、服务依赖和隔离
Repo代码仓库中的代码质量,帮助您快速建立对代码检查服务的整体印象。 前提条件 已注册华为云并实名认证,如果还没有华为账号,请参考以下步骤创建。 打开华为云网站。 单击“注册”,根据提示信息完成注册。 注册成功后,系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 已开通
未受控的格式化字符串 不支持 支持 攻击者可利用格式化字符串漏洞实现控制程序行为和信息泄露。 不支持 支持 跨站脚本攻击(XSS) 支持 支持 攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。 不支持 支持 LDAP注入 支持 支持 利用用户输入的参数生成非法LDAP查询,盗取用户信息。
“代码编写、代码合并、版本发布”三层缺陷防护,兼顾效率与质量 优秀的代码质量保障实践,往往将代码检查融入到开发作业流中,在用户代码编写、代码提交时进行自动化的审计检查,并对团队每日产出的代码进行持续编程规范和质量检查。 这一活动实践要求已是安全开发过程SDL、DevSecOps等众多优秀开发模式推荐进行的实践要求。
已创建代码检查任务。 如果创建的是Repo代码源检查任务,则需要有代码仓库的访问权限。参考成员管理,可添加代码仓访问权限。 执行代码检查任务 基于项目入口访问CodeArts Check服务首页。 单击代码检查任务所在行的,根据页面提示等待任务执行完成。 检查代码仓其它分支的代码 在代码检查
置之后要重新扫描,问题的发现时间大于设置时间将被划分为新问题。如果没有设置起始时间,连续两次的检查结果对比,新增的就是新问题数。 基于项目入口访问CodeArts Check服务首页。 进入代码检查页面,在任务列表中,单击任务名称。 进入“代码检查详情”页面,选择“设置 > 高级选项
的基础镜像执行代码检查任务。 前提条件 已将自定义环境推送到镜像仓中,具体操作请参见制作镜像并推送到SWR仓库。 配置自定义镜像 基于项目入口访问CodeArts Check服务首页。 进入代码检查页面,在任务列表中,单击任务名称。 在代码检查详情页面,选择“设置 > 自定义环境”。
配置代码检查任务检查模式 您可以根据实际需求设置检查模式和检查目录,提高检查效率。 C#语言和secbrella引擎均不支持MR合入。 设置检查模式 基于项目入口访问CodeArts Check服务首页。 进入代码检查页面,在任务列表中,单击任务名称。 进入“代码检查详情”页面,选择“设置 > 检查模式”。
用户可优先了解各个规则集中的规则详情,选择符合检查要求的规则集。可查看的规则详情包含:问题级别、正确示例、错误示例和修复建议等信息。 基于项目入口访问CodeArts Check服务首页。 单击“规则集”页签,进入检查规则集列表页面。 单击规则集名称,进入到该规则集的规则详情页面可在线查看规则详情。
Check窗口“Defects”页签下区域;取消勾选“代码编辑后保存,是否自动触发代码检查”则关闭该功能。 配置git代码提交时自动扫描:即勾选“代码提交前,是否自动触发代码检查”;取消勾选“代码提交前,是否自动触发代码检查”则关闭该功能。 2 检查模式 无需配置,默认为本地扫描模式。 3 配置扫描排除目录
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
