随着计算机技术在各行各业广泛而深入的应用,软件规模和调用链路逐渐复杂,潜在的代码安全问题和风险也日益增多。近几年安全漏洞频发,诸多知名软件被发现存在远程代码执行、隐私数据泄露、SQL注入等安全漏洞问题,造成企业资产损失。面对越来越复杂的安全场景和安全漏洞可能会带来的巨大损失,如何识别和管理潜在安全风险成了企业管理者和产研同学的一个不可忽视的问题。
在日常研发过程中,安全类问题往往隐藏在缺乏安全意识的编码逻辑和未检查的开源依赖组件中,难以在功能性测试和代码评审中被及时察觉。云效Codeup为开发者提供了丰富的代码安全检测服务:
企业管理者可以通过「源码漏洞检测」和「敏感信息检测」识别源码编程中的策略漏洞和隐私泄露问题,通过「依赖包漏洞检测」为每次代码变更引入的三方依赖软件包进行充分的安全检查,并在企业级安全中心和代码库安全页面进行风险数字化管理。除了云效Codeup开箱即用的内置检测服务,开发者也可以简单快捷地在云效Flow流水线平台上解锁更多的自定义检测场景。
源码漏洞检测
Codeup集成了Sourcebrella Pinpoint源伞检测引擎,为开发者提供源码漏洞检测服务。主要涉及到注入类风险和安全策略类风险检测。
源伞检测引擎是香港科技大学Prism研究组在过去十年的时间内的技术研究成果。该引擎吸收了国际上近十年的软件验证技术研究成果,并且加以改进和创新,独立设计和实现了一套技术领先的软件验证系统。其主要验证方式是将编程语言翻译成一阶逻辑和线性代数等数学表达,通过形式化验证技术推理缺陷成因。迄今为止,一共发表了四篇核心技术相关的论文,一篇PLDI和三篇ICSE,研究型的同学可以搜索下方链接阅读