云效依赖漏洞检测,高效杜绝代码安全隐患
云效依赖漏洞检测,高效杜绝代码安全隐患,据不完全统计 78% 的企业都在使用开源,但这些开源依赖包的安全性呢?开源依赖提供方通常没有较多的预算进行安全性测试,危险系数极大。使用云效提供依赖包漏洞检测服务,能够杜绝代码安全隐患。
限定语言:Java、Python、Golang、Node.js
为什么需要关注依赖包漏洞
【云效依赖漏洞检测,高效杜绝代码安全隐患】在开发过程中使用依赖包漏洞检测越来越常见,无论是二方还是三方依赖,它帮助我们共享成果,重复使用他人开发的软件库,让我们能够专注于自己的创新,进而推进技术的快速发展。
针对三方依赖包场景,据不完全统计 78% 的企业都在使用开源,但是他们是否有关注过这些开源依赖包的安全性呢?开源依赖提供方通常没有较多的预算进行安全性测试,黑客的主要攻击目标也是这些开源包内存在的漏洞,一旦击破一个,其影响范围很大。
为了杜绝安全隐患,企业需要做到以下三点:
- 了解工程都使用了哪些依赖包;
- 删除不需要的依赖包;
- 检测并修复当前依赖的已知漏洞;
云效Codeup 提供依赖包漏洞检测服务,帮助企业方便的检查其工程依赖包的安全性。
依赖包漏洞等级分为:BLOCKER,CRITICAL,MAJOR,等级划分根据NVD国家漏洞数据库CVSS分数评估制定。
BLOCKER: 高危漏洞,建议立即修复;
CRITICAL: 中危漏洞,建议尽快修复;
MAJOR: 低危漏洞;
开启扫描 代码库管理员角色有权限开启或关闭扫描。
点击代码库导航中「安全」模块,即①,展示当前可用安全服务列表。如果你是代码库管理员,可点击②直接前往库设置开启服务;如果不具备库管理器权限,可联系代码库管理员开启。
文章图片
管理员点击②后进入代码库设置,选择 「集成与服务」-「依赖包漏洞检测」进行开启。
在弹出的 「用户承诺书」窗口中,阅读并勾选 「我已阅读相关协议并确认开通服务」,然后点击「确认」后开启服务。
文章图片
文章图片
触发方式:依赖包漏洞检测目前支持「代码提交」触发自动扫描。
检测参数:目前支持的检测语言类型
- Java
- Golang
- Python
- Node.js
开启后返回安全模块,可见依赖包漏洞检测服务:
文章图片
执行扫描
开启服务后将自动触发「默认分支」的扫描行为,其他分支需要主动触发。点击①切换分支,若当前分支未执行过扫描,可点击②手动触发一次扫描:
文章图片
查看扫描结果
当前分支存在扫描结果时展示如下,每行为一个存在漏洞问题的依赖包。
由于此处扫描均是基于提交进行的,点击①处可查看当前扫描结果对应的提交详情;点击②处可查看单条存在漏洞的依赖包详情:
文章图片
最佳修复方案推荐
展开依赖包问题详情,当存在修复方案的时候,①处将为你生成最佳推荐,以帮助你快速处理依赖包安全风险问题:
文章图片
漏洞详情
②处展示了当前依赖包内涉及的全部漏洞问题列表,点击可展开漏洞的详细说明:
文章图片
提交列表查看
当存在新提交时,系统将自动执行扫描,通过扫描结果卡片页面可以快速查看依赖包漏洞检测结果:
文章图片
综合分析使用云效依赖漏洞检测,能够高效杜绝代码安全隐患,云效代码管理 codeup是阿里云出品的一款企业级代码管理平台,提供代码托管、代码评审、代码扫描、质量检测等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的研发管理。
推荐阅读
- 赠己诗
- jhipster|jhipster 升级无效问题
- 【译】20个更有效地使用谷歌搜索的技巧
- 八、「料理风云」
- 带有Hilt的Android上的依赖注入
- 西湖游
- 怎样用黑谜速冻膜去黑头,|怎样用黑谜速冻膜去黑头, 最有效的去黑头的方法看这!
- SpringBoot调用公共模块的自定义注解失效的解决
- 两短篇
- 9531