CODING 加強安全漏洞掃描能力，助力團隊「安全左移」

代碼安全問題頻現，防控迫在眉睫

2010 年，大型社交網站 rockyou.com 被曝存在 SQL 注入漏洞，黑客利用此漏洞獲取到 3200 萬用戶記錄；2015 年，英國電話和寬帶供應商 TalkTalk 被一名 15 歲的黑客利用 SQL 注入漏洞進行攻擊，泄露近 400 萬客戶資料；2018 年，萬豪泄漏 3.39 億客人我的信息，被處以 1840 萬英鎊（約合人民幣 1.6 億元）罰款。

根據 WhiteHat Security 的一項研究代表，各個行業所使用的應用程序中，至少有 50％ 包含一個或多個嚴重的可利用漏洞，這些層出不窮的安全漏洞將會對企業的生產運營構成重大威脅。但傳統的靜態應用程序安全性測試（SAST）每每須要較長的掃描分析時間，稍大的項目常常須要花費好幾小時來進行掃描，實時性較差，在版本迭代快速的 Web 應用開發中嚴重拖慢整條流水線；同時誤報率也較高，同一個漏洞屢次報警的狀況更是常有發生，開發團隊須要耗費大量資源來確認並去除這些誤報，致使團隊沒法敏捷地融入到 DevSecOps 中。

DevSecOps 是 Gartner 在 2012 年就提出的概念。它的目標是將安全嵌入到 DevOps 的各個流程中去（需求，架構，開發，測試等），從而實現安全的左移，讓全部人爲安全負責，將安全性從被動轉變爲主動，最終讓團隊能夠更快速地開發出更安全的產品。

面對潛在的產品安全隱患與實現 DevSecOps 的層層挑戰，如何推進「安全左移」、如何經過在 DevOps 的基礎上平穩建設 DevSecOps 以保障開發安全，已成爲企業研發團隊須要重點關注的課題。

CODING x Xcheck，全面強化代碼安全能力

CODING 代碼掃描自開放試用以來，已累計爲 5000+ 團隊提供掃描服務，經過分析代碼倉庫中的源代碼，幫助開發團隊及時發現其中潛藏的代碼缺陷、安全漏洞以及不規範代碼；而且自動生成問題列表，附帶修改建議，便於團隊成員快速修復問題，提高代碼穩定性；還經過對代碼進行度量，統計出結構異常複雜的方法及重複代碼供開發人員調整，進而提高代碼可維護性。

而在助力企業建設 DevSecOps 的道路上，CODING 代碼掃描也在不斷深耕，本次更新在原有代碼可靠性、代碼規範掃描能力的基礎上，針對代碼安全進行了全面強化，集成騰訊 CSIG 自研靜態應用安全測試工具 - Xcheck，開放騰訊內部強大的研發能力，幫助研發團隊精準檢測業務代碼，及時發現並規避安全風險。

Xcheck 基於成熟的污點分析技術，以及對抽象語法樹的精準剖解，經過巧妙優雅的方式實現污點的傳遞和跟蹤。經測試，在 4 核 16G 的 Linux 雲主機上，Xcheck 對項目的檢查速度在 1w+ 行/s，部分項目能夠達到 2w+ 行/s，同時通過對 Xcheck 投喂大量項目進行誤報優化，目前 Xcheck 各語言的誤報率已低於 10%，做爲一個輕量化插件，Xcheck 在減小對使用者的打擾下，可以更快速準確地發現潛藏在代碼中的安全風險，全方位幫助研發團隊安全生產代碼，保障代碼安全。

一鍵啓用，爲企業數字化資產保駕護航

如今基於 CODING 代碼掃描，您就能夠享受到 Xcheck 身經百戰的代碼安全分析能力。前往 CODING，在「代碼掃描 - 掃描方案」 中一鍵啓用 Xcheck 規則包便可開始進行代碼安全檢測，無需額外設置，操做簡單便捷，目前已支持 Java 語言，Python、PHP、Go、JS 等語言將在 4 月陸續支持。

藉助 CODING 代碼掃描及 Xcheck 的強大能力，開發人員可以提早發現並迅速採起行動解決安全漏洞，將安全風險左移至開發階段解決，大幅減小返修成本，縮短交付週期，幫助團隊更高效地開發出安全係數更高的產品，同時也避免了企業遭受因應用安全事件致使的聲譽及資產損失，爲企業數字化資產保駕護航。

目前 CODING 代碼掃描功能試用持續開放中，點擊閱讀原文便可當即體驗。關注 CODING 公衆號，後續將會分享更多代碼安全漏洞實戰案例，助力您的團隊更好地實踐 DevSecOps，敬請期待！

推薦閱讀：

一、CODING 幫助文檔 - 代碼掃描功能介紹： _https://help.coding.net/docs/host/code-scan/introduce.html_

二、CODING 幫助文檔 - Xcheck 工具： _https://help.coding.net/docs/host/code-scan/xcheck.html_

三、瞭解 Xcheck 更多信息及代碼安全審計相關技術，關注 Xcheck 公衆號：

騰訊代碼安全檢查 Xcheck