帮助中心主页
入门指南
  1. 认识 CODING DevOps
    1. 产品简介
    2. 使用流程
    3. 团队、项目与项目集的关系
    4. 权限管理
  2. 注册与邀请
  3. 创建项目
  4. 开始项目协同
  5. 使用代码仓库
  6. 启动代码扫描
  7. 编译构建
  8. 管理制品
  9. 实施持续部署
  10. 管理测试用例
  11. 管理项目文档
  12. 安全等级说明
  13. DevOps 基础知识
    1. DevOps 概述
    2. DevOps 核心原则
    3. DevOps 的四个阶段
  14. 常见问题
项目协同
  1. 产品简介
  2. 产品视频
  3. 选择合适的协作模式
  4. Scrum 敏捷项目管理
    1. 模式介绍
    2. 管理 Backlog
    3. 管理迭代
    4. 管理版本
    5. 管理史诗
    6. 管理需求
    7. 管理任务
    8. 管理缺陷
    9. 故事点
    10. 迭代统计
    11. 总结复盘
  5. 经典项目管理
    1. 模式介绍
    2. 管理需求
    3. 计划
    4. 管理迭代
    5. 管理版本
    6. 管理任务
    7. 管理缺陷
    8. 阻塞关系
    9. 工时统计
    10. 跟踪进度
  6. 配置方案
    1. 功能简介
    2. 管理配置方案
    3. 应用配置方案
    4. 自定义事项类型
    5. 自定义事项属性
    6. 自定义工作流
  7. 事项管理
    1. 导入&导出事项
      2. 编辑事项
      1. 块编辑器
      2. 富文本编辑器
    2. 复制事项
    3. 筛选事项
    4. 批量修改事项属性
    5. 批量复制事项
    6. 引用资源&上传附件
    7. 管理事项版本
    8. 管理标签
    9. 描述模板
    10. 管理事项视图
    11. 快速发起腾讯会议
  8. 最佳实践
    1. 如何使用 CODING 进行项目规划
    2. 如何使用 CODING 进行敏捷开发
    3. 如何使用 CODING 进行瀑布流式研发
  9. 常见问题
  10. 词汇表
代码仓库
  1. 产品简介
  2. 产品视频
  3. 快速开始
  4. 权限配置
  5. Git 仓库
    1. 创建仓库
    2. 导入或关联外部仓库
    3. 浏览仓库文件
    4. 修改远程仓库地址
    5. 清理/归档/删除/重置仓库
    6. 恢复已删除仓库
    7. 管理代码仓库卡片
    8. 通过本地命令行管理仓库
    9. 模板仓库
    10. 提交日期格式
    11. 代码对比
  6. SSH 协议
    1. 配置 SSH 公钥
    2. 密钥指纹鉴权
    3. 通过 SSH 协议推拉代码
  7. SVN 仓库
    1. 创建 SVN 仓库
    2. 访问 SVN 仓库
    3. 管理 SVN 目录权限
  8. 分支管理
    1. 创建分支
    2. 设置默认分支
    3. 设置保护分支
    4. 设置隐藏分支
    5. 设置只读分支
    6. 代码所有者
  9. 合并请求与评审
    1. 合并请求设置
    2. 发起合并请求
    3. 评审合并请求
  10. 版本与标签
    1. 代码版本
    2. 代码标签
  11. 代码仓库安全
    1. 检查仓库安全风险
    2. 调整访问限制
    3. 使用 GPG 签名 commit 记录
    4. 提交者及提交注释验证
    5. 锁定文件/文件夹
    6. 限制推送文件大小与仓库容量
    7. 文件推送控制
    8. 仓库规范
  12. Git 基础知识
    1. 基础概念
    2. 常用命令
    3. LFS 使用
    4. Go get 支持
  13. 最佳实践
    1. 如何将第三方代码仓库迁移至 CODING?
    2. 如何在 CODING 持续集成中通过 SSH 方式拉取 Gitee 仓库代码?
    3. 如何扫描代码仓库?
    4. 提交合并请求时如何触发代码扫描?
  14. 常见问题
    1. 提示验证失败怎么办?
    2. Git 账号密码相关问题
    3. 克隆代码时出错怎么办?
    4. 部署公钥与个人公钥有何区别?
    5. 代码仓库满了怎么办?
    6. 认证失败超过 20 次提示冻结 3600s 怎么办?
    7. 如何修改已关联的外部仓库?
    8. 推送代码时提示其他错误怎么办?
    9. 公钥拉取失败提示 Permission denied(publickey)
    10. 提示 Couldn't resolve host 怎么办?
    11. 提示 RPC failed 错误怎么办?
    12. 导入仓库后没有合并请求记录如何处理?
    13. 创建合并请求时提示不可自动合并怎么办?
    14. 仓库使用量之和已达到 5G 该怎么办?
    15. 导入外部开源仓库时失败怎么办?
    16. 如何查看代码仓库容量?
    17. 如何提升代码质量?
    18. 代码存储在本地机房相较于上传至 CODING 中有何区别?
    19. 网络正常,但是导入外部仓库失败怎么办?
    20. 推送代码时提示不是有效的 CODING 邮箱,如何处理?
    21. 项目归档后,代码仓库是否占用团队仓库容量?
    22. 如何查看代码贡献图?
    23. 为什么代码提交列表中的成员名并非团队成员的名字?
    24. 代码仓库删除后,为什么对应的部署公钥未删除?
    25. 代码仓库删除后,为什么团队仓库容量没有及时恢复?
    26. 为什么删除仓库时无法点击确认删除按钮?
    27. 代码托管在 CODING 是否安全?
    28. 如何控制只有部分员工账号能往 master 中提交代码?
    29. 如何给成员配置指定代码仓库的权限?
    30. 代码仓库误删超过 30 天怎么恢复?
    31. 使用 raw 地址访问代码仓库必须使用 token 吗?
    32. 绑定私有 GitLab 时点击授权绑定后,未跳转到 GitLab 授权页面,如何处理?
    33. 仓库怎么改名字?
    34. 不小心误删了代码分支怎么恢复?
    35. 代码仓库中的 Git LFS 文件如何删除?
    36. 合并分支时提示有冲突,但看不到冲突文件,如何解决?
    37. 如何防止误删除分支或限制直接删除分支?
    38. 拉取代码时提示 unable to access 并返回 403 错误码如何处理?
    39. 为什么在线解决冲突会在源分支上生成一个新的合并提交?
  15. 词汇表
持续集成
  1. 产品简介
  2. 产品视频
  3. 快速开始
  4. 权限配置
  5. 编写构建流程
    1. 文本编辑器
    2. 流程配置详情
    3. 图形化编辑器
  6. 配置构建计划
    1. 触发规则
    2. 环境变量
    3. 构建快照
    4. 缓存目录
  7. 构建制品
    1. Composer
    2. Docker
    3. Generic
    4. Maven
    5. Npm
  8. 构建节点
    1. 构建节点类型
    2. 默认构建环境
    3. 自定义构建环境
    4. 自定义节点
    5. Worker 常用命令
    6. 构建节点池
  9. 管理构建计划
    1. 分组管理
    2. 构建计划模板
  10. 系统插件
    1. 上传 Generic 类型制品
    2. 调取已录入的凭据
    3. 自动添加合并请求评审者
    4. 人工确认
    5. 收集通用报告
    6. 上传 API 文档
    7. 在阶段末尾执行插件
    8. 代码扫描
    9. CD 插件镜像更新至 K8S 集群
    10. 错误信号
    11. 邮件通知
    12. 触发其他构建计划
    13. 推送至其他项目中的制品库
    14. SSH 命令行(Jenkins 原生)
  11. 自定义团队插件
    1. 产品简介
    2. 开发指引
    3. 声明文件
    4. qci-plugin
    5. 质量门禁插件
  12. 最佳实践
    1. 新版 CI 3.0 引擎
    2. 使用代码仓库
    3. 自定义构建环境
    4. 使用 Docker
    5. Docker 作为工具
    6. 使用 Mirrors
    7. 自动生成版本号
    8. Jenkinsfile 语法进阶
    9. 持续集成中使用凭据
    10. SSH 到远端服务器
    11. SSH 到服务器操作 Docker
    12. envsubst 替换文本
    13. 发布 COS 存储桶
    14. COS 自建静态网站
    15. 部署到 K8S
    16. 部署到腾讯云 Serverless
    17. 微信小程序
    18. 推送至 TCR 镜像仓库
    19. 推送至 DockerHub 仓库
      20. 使用持续集成构建应用
      1. GWT 应用
      2. 自动发布 Electron 应用
      3. 每日一句小应用
      4. 自动化发布 AI 应用
      5. 自动构建微信小程序
      6. 使用 Flask 构建 Web 应用
      7. 自动构建安卓应用
      8. 将 React 项目发布至腾讯云 COS
      9. 将 Vue 项目发布至腾讯云 COS
  13. 常见问题
    1. 插件相关
    2. 编译构建相关
    3. 环境变量相关
    4. 自定义节点相关
    5. SSH 相关
    6. Node 构建
    7. GO 构建
    8. Gradle 构建
    9. Maven 构建
    10. Android 构建
    11. cdDeploy 部署报错
    12. 构建过程中网络异常
    13. 缓存与缓存失效
    14. 本地是好的在持续集成里是坏的
  14. 词汇表
云原生构建
  1. 产品简介
  2. 快速开始
  3. 核时计费
  4. 权限配置
  5. 流水线
    1. 功能介绍
    2. 流水线语法
    3. 环境变量
    4. 触发流水线
    5. 内置任务
    6. 流水线缓存
    7. 调试流水线
  6. 构建节点
    1. 默认节点
    2. 构建环境
  7. 构建制品
    1. Docker
    2. Generic
    3. Npm
    4. Maven
  8. 远程开发
    1. 服务介绍
    2. 快速开始
    3. 使用说明
    4. 使用技巧
  9. 最佳实践
    1. MR 检查及 IM 通知
    2. Monorepo 实践
  10. 常见问题
    1. 流水线运行失败
持续部署
  1. 产品简介
  2. 快速开始
  3. 权限配置
  4. 应用管理
  5. 云账号
  6. 部署流程
    1. 配置部署流程
    2. 阶段类型
    3. 触发器
    4. 环境变量
  7. 部署方式
    1. 自动发布 Docker 制品时触发
    2. 在构建计划中添加部署阶段
    3. 手动提交发布单
  8. 制品
    1. 部署流程中的制品
    2. Kubernetes 场景下的制品
  9. 阶段类型详情
    1. 人工确认
    2. Patch(Manifest) 阶段
    3. Run Job(Manifest) 阶段
    4. Bake(Manifest) 阶段
    5. Deploy(Manifest) 阶段
  10. 主机组管理
  11. 最佳实践
    1. 如何将项目发布至集群
    2. 获取制品名称与版本
    3. 部署 Docker 制品至主机组
  12. 常见问题
    1. 部署 Kubernetes 资源时拉取私有库镜像
    2. Kubernetes 云账号的最小权限要求
    3. 如何将 Kubeconfig 中的证书文件转为证书数据?
    4. 云账号相关问题
    5. Pod 镜像未更新
    6. 部署流程相关
    7. Git 仓库触发器不生效
    8. 如何将字符串转为整数?
    9. TCR 仓库触发器失效
    10. 常见错误码
    11. 启动参数报错 Failed to evaluate [value] EL1030E
    12. 部署流程是否有模板功能
    13. CD_CREDENTIAL_ID 是怎么获取的
    14. 部署成功,pod 没有重启
    15. 主机组状态异常 Failed to evaluate
    16. 腾讯云 TKE 账号类型不显示 TKE 集群
    17. Orbit 应用中心提示团队配置尚未初始化
    18. 堡垒机状态异常
    19. 主机组常见问题
    20. 持续部署的历史记录为什么只能看到两条
    21. 删除 K8s 类型的应用后刷新又出现了?
    22. 持续部署支持部署到 AWS,Azure 这些非国内公司的云上吗?
    23. 堡垒机与主机组是同一台,如何操作
    24. 腾讯云超级节点部署失败如何排查
    25. 按资源控制部署权限说明
  13. 词汇表
代码扫描
  1. 功能简介
  2. 快速开始
  3. 权限配置
  4. 扫描任务
  5. 扫描方案
    1. 产品简介
    2. 方案模板
    3. 自动匹配语言
    4. 环境变量
  6. 扫描工具
    1. Xcheck 工具
    2. 集成外部扫描工具
  7. 规则包更新记录
  8. 常见问题
  9. 词汇表
Orbit 应用管理
  1. 产品简介
  2. 快速开始
    1. 前置准备
    2. OAM
  3. 权限配置
  4. 基础设施
  5. 应用管理
    1. 创建应用
    2. 应用信息
    3. 服务管理
    4. 配置管理
    5. 部署流程
    6. 部署记录
    7. 发布应用
  6. 环境管理
    1. 基础信息
    2. 配置管理
    3. 链路追踪
    4. 代码诊断
      5. 日志与事件
      1. 功能介绍
      2. 接入腾讯云 CLS
      监控与告警
      1. 功能介绍
      2. 接入腾讯云 TMP
  7. 服务模板
  8. 运维插件
    1. 配置插件
    2. 注解插件
    3. 标签插件
    4. 监控暴露插件
    5. 资源限制插件
  9. 观测工具
  10. 常见问题
    1. Orbit As Code 升级常见问题
  11. 词汇表
基础设施管理
  1. 集群管理
  2. 数据库管理
  3. 云账号
  4. 主机组管理
    1. 功能介绍
    2. 堡垒机
    3. 主机组
    4. 部署阶段配置
    5. 运行脚本阶段
    6. 查看部署详情
制品管理
  1. 产品简介
  2. 产品视频
  3. 快速开始
    1. 基础操作
    2. Generic
    3. Docker
    4. Maven
    5. Npm
    6. Helm
    7. PyPI
    8. Composer
    9. NuGet
    10. Rpm
    11. Conan
    12. Cocoapods
    13. Go
  4. 制品库代理
  5. 制品库权限
  6. 制品库认证
  7. 制品属性
  8. 制品晋级
  9. 制品版本覆盖策略
  10. 清理策略
  11. 制品扫描
    1. 功能简介
    2. 快速开始
    3. 扫描对象
  12. 自动化插件
    1. 在持续集成中推送制品
    2. 自动填充制品属性
  13. 最佳实践
    1. 搭建团队级制品库
  14. 常见问题
  15. 词汇表
API 管理(旧)
  1. 产品简介
  2. 接口文档
    1. 创建接口
    2. 在线文档
    3. 数据模型
  3. 自动化测试
    1. 场景用例
    2. 模板用例
    3. 调试用例
    4. 测试任务
    5. 公共参数
    6. 内置函数
    7. 接入数据库
  4. 压力测试
  5. 环境管理
API 管理
  1. 产品简介
  2. 权限配置
  3. 快速开始
  4. API 设计
    1. 接口库管理
    2. 接口声明
    3. 数据模型
    4. 接口调试
    5. 代码生成
    6. 接口用例
  5. 公开文档
  6. Mock 管理
  7. 自动化测试
    1. 场景用例
    2. 测试任务
  8. 资源管理
  9. 变量介绍
  10. 容器部署自定义节点
  11. 常见问题
    1. 未选择访问环境,无法获取该环境下的接口地址怎么办?
    2. 设置了防火墙,如何放行 CODING IP?
    3. 环境下未部署接口,无法发起请求怎么办?
测试管理
  1. 快速开始
  2. 产品视频
  3. 测试用例
    1. 创建用例
    2. 关联需求
    3. 用例评审
  4. 测试用例库
    1. 项目用例库
    2. 共享用例库
  5. 测试计划
    1. 创建测试计划
    2. 执行测试计划
    3. 管理测试计划
  6. 自动化用例库
  7. 分析测试报告
  8. 测试活动概览
  9. 词汇表
  10. 常见问题
测试协同
  1. 产品简介
  2. 快速开始
  3. 权限配置
  4. 测试设计
  5. 测试用例
    1. 用例库与版本管理
    2. 用例管理
    3. 用例评审
  6. 测试计划
  7. 测试报告
  8. 自定义模板
  9. 常见问题
文档管理
  1. 知识管理
    1. 产品简介
    2. 快速开始
    3. 知识空间
    4. 文档页面
    5. 权限配置
  2. Wiki
    1. 产品简介
    2. 快速开始
    3. 权限配置
    4. Markdown 语法参考
    5. 常见问题
  3. 文件网盘
    1. 产品简介
    2. 快速开始
    3. 权限配置
  4. API 文档管理
    1. 快速开始
    2. 配置说明
    3. 接入自动化工具
      4. 编写与导入
      1. OpenAPI/Swagger
      2. Postman
      3. apiDoc
      Mock API
      1. 功能介绍
      2. 使用流程
      3. 调用说明
自动化助手
  1. 产品简介
  2. 权限配置
  3. 快速开始
  4. 管理规则
  5. 常见问题
Compass
  1. 产品简介
  2. 工作流
    1. 功能介绍
    2. 快速开始
    3. 耗时统计
  3. 规范
  4. 自动化
  5. 词汇表
个人管理
  1. 工作台
  2. 个人账户设置
    1. 账号信息
    2. 邮箱设置
    3. 两步验证
    4. 通知设置
    5. 绑定第三方服务
    6. 账号合并指引
  3. 访问令牌
  4. 常见问题
项目管理员指南
  1. 项目管理
  2. 成员与权限管理
  3. 项目设置
  4. 高级设置
    1. 项目令牌
    2. 凭据管理
      3. Service Hook
      1. 产品简介
      2. 服务类型
      3. 事件介绍
      4. 过滤器
      5. 绑定企业微信群机器人
      6. 绑定钉钉机器人
  5. 常见问题
    1. 如何设置项目管理员权限
团队管理员指南
  1. 团队管理
  2. 团队与项目
  3. 成员管理
    1. 管理团队成员
    2. 管理组织架构
    3. 管理组织架构成员
    4. 管理项目成员
    5. 导入腾讯云子账号
    6. 导入 LDAP 成员
    7. 导入企业微信成员
    8. 导入飞书成员
  4. 权限管理
    1. 配置用户组
    2. 配置团队权限方案
    3. 配置项目权限方案
    4. 配置资源权限方案
  5. 第三方应用
    1. 绑定腾讯云
    2. 绑定企业微信
    3. 绑定私有 GitLab
    4. 绑定 LDAP
    5. 绑定飞书
  6. 安全管理
    1. 访问审计
    2. 会话管理
    3. 登录设置
    4. 水印设置
    5. 日志
  7. 服务订购
    1. 服务方案与订购流程
    2. 账单、合同与发票
    3. 团队资源用量
  8. 消息通知
    1. 站内通知
    2. 每日邮件提醒
    3. 团队公告
      4. 第三方服务通知
      1. 企业微信群机器人
      2. 钉钉机器人
  9. 凭据管理(Beta)
  10. 常见问题
生态能力
  1. 产品简介
  2. 快速开始
  3. 权限配置
  4. 管理应用
  5. 应用开发
    1. 开发指引
    2. 授权范围指引
    3. 应用上下文
  6. 应用插槽
  7. 最佳实践
    1. CoDesign 应用
  8. 词汇表
项目集
  1. 产品简介
  2. 快速开始
  3. 项目集管理
  4. 成员与权限管理
  5. 常见问题
仪表盘
  1. 快速开始
  2. 卡片列表
团队目标管理
  1. 产品简介
  2. 快速开始
  3. 目标周期管理
  4. 目标管理
  5. 词汇表
工作负载
  1. 产品简介
  2. 快速开始
  3. 权限配置
  4. 视图设置
效能洞察
  1. 产品简介
  2. 权限配置
  3. 快速开始
  4. 编辑视图
  5. 设置指标方案
  6. 常见问题
OPEN API
  1. OPEN API 文档
网站托管
  1. 管理指引
流水线
  1. 产品简介
  2. 快速开始
  3. 在线配置流水线
    1. 构建环境
    2. 编写阶段
    3. 编写任务
    4. 环境变量
    5. 质量门禁
    6. 触发方式
    7. 管理流水线
  4. CIFile 配置流水线
    1. 示例文件参考
    2. 使用环境变量
    3. 配置触发方式
    4. 文件路径配置格式
    5. 阶段与任务
    6. 收尾阶段
  5. 配置构建资源
    1. 构建节点池
    2. 云主机
    3. 自定义构建节点
    4. 自定义构建集群
  6. 流水线流程控制
    1. 质量门禁
    2. 安全性策略
    3. 过程状态消息通知
  7. 应用发布与部署
    1. 发布至制品库
    2. 发布至集群
    3. 结果徽章
  8. 常见问题
  9. 词汇表
Cloud Studio
  1. 产品简介
云应用
  1. 产品简介
  2. 安装前准备
  3. 安装云应用实例
  4. 使用云应用实例
  5. 操作指南
    1. 操作总览
      2. 实例操作
      1. 变更实例规格
      2. 清理实例
      3. 配置多可用区
      4. 更新实例
      备份与恢复
      1. 备份数据
      2. 恢复数据
  6. 计费概述
  7. 常见问题
    1. 504 gateway
代码扫描 / 规则包更新记录

规则包更新记录

文章内容
  1. 2021.03.05 升级
  2. 2021.06.01 升级
  3. 2021.10.08 升级
  4. 2022.02.14 版本升级

官方规则包是由 CODING 按照一些设定的场景对规则库中的规则进行筛选和评审得到的规则集合,便于按照使用场景快速启用扫描能力。这些官方规则包由 CODING 进行统一维护,随着时间的沉淀,我们将不断根据用户数据和新接入的工具规则来不断对官方规则包进行优化,进而提供更优质的扫描能力。

本文记录了历次规则包的升级公告与相关内容。

2021.03.05 升级

概述

本次更新将于 2021.03.05 进行,对现存扫描业务扫描方案中的自定义内容不会造成影响。

本次更新将对现有规则包进行整体升级,新增的规则包均为代码规范类规则包,新增的规则包将在系统推荐扫描方案中将默认启用,在自定义扫描方案中需自行手动启用。

完善了现有的基础、功能、安全类型规则包。

我们将在后续推出规则包版本管理能力,您从容选择是否沿用历史版本的规则包(敬请期待)。若有任何问题,欢迎发送邮件至 coding_support@tencent.com 或通过工单联系我们。

内容

JAVA

更新内容

- 功能规则包

保留规则包中原有规则,更新 无用的循环应该重用随机对象"equals(Object obj)" 和 "hashCode()" 应该一同重写等推荐规则。

- 安全规则包

保留规则包中原有规则,更新 printstacktrace(…)不应该被调用IP地址硬编码使用伪随机数生成器Cookie 中存储个人数据 等规则,以发现更多影响应用安全的潜在代码问题。

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部实践经验所整理。

JavaScript

更新内容

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

- 功能规则包

保留规则包中原有规则,增加如 禁止在 finally 语句块中出现控制流语句不允许类成员中有重复的名称 等推荐规则。

- 安全规则包

保留规则包中原有规则,新增更多规则以发现更多可能影响应用安全的代码问题,如 不安全的加密不安全的哈希检查 等。

新增 VUE 规则包

  1. 新增 VUE 代码规范规则包。

  2. 新增 VUE 推荐规则包。

TypeScript

更新内容

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

C/C++

更新内容

- 安全规则包

保留规则包中原有规则,增加如 IP 硬编码类型转换前是否使用了取址操作符 等推荐规则。

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

Python

更新内容

- 功能规则包

保留规则包中原有规则,增加 从返回值为 None 的函数中复制 等推荐规则。

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

Object-C

更新内容

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

C

更新内容

- 功能规则包

保留规则包中原有规则,增加如 Unity 项目禁止使用 LINQ (GC 内存分配较大,影响性能) 等推荐规则。

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

Kotlin

更新内容

- 基础规则包

保留规则包中原有规则,增加如 when 表达式中出现重复的 case重写 equals 时覆盖 hashCode 等推荐规则。

GO

更新内容

- 代码规范规则包

此规则包将与原有规则包差别较大,新的规则包根据腾讯云内部的实践经验所整理。

2021.06.01 升级

概述

本次升级主要针对 Java 语言的官方规则包,结合使用数据对现有规则包再次进行了走查、评审,主要调整内容如下:

  1. 对 Java 规范规则包中的规则进行了精简,且剩下的规则进行适当的”降级”以及规则描述补全。
  2. 对原有 Java 敏感信息规则包进行了拆分处理,将其中 5 条敏感信息规则归并到 通用敏感信息规则包,剩余 3 条安全类规则整合到 Java 安全规则包中
  3. 丰富 Java 安全规则包,一方面如上文描述从 Java 敏感信息中将安全规则迁移,另一方面增加三条 cobra 工具下的安全规则。
  4. 对 Java 功能规则包以及 Xcheck 规则包,修复规则包中部分规则描述

影响

以下仅影响启用 Java 规则包的项目

  1. 代码规范评分可能会提升,本次更新对规范规则包中规则进行了适当的”降级处理”
  2. 扫描出的安全问题可能会增加,请重点关注。本次新增加了三条默认规则
  3. 敏感信息问题可能会被关闭,敏感信息规则一般需要您根据公司实际情况调整规则参数中的正则表达式,如果希望可以通过正则表达式来扫描代码中是否存在某些敏感信息,可以前往敏感信息规则包中设置。

内容

  1. Java 代码规范规则包中,完善规则描述,调整规则严重级别,调整详情如下:

    以下规则从 错误级别 调整至 提示级别

    错误级别调整至警告级别

    AvoidEscapedUnicodeCharacters、NoLineWrap、CustomImportOrder、OverloadMethodsDeclarationOrder、NeedBraces、LeftCurly、RightCurly、OneStatementPerLine、OperatorWrap、
SeparatorWrap、EmptyLineSeparator、NoWhitespaceBefore、ParenPad、MethodParamPad、MultipleVariableDeclarations、ArrayTypeStyle、MissingSwitchDefault、
InterfaceTypeParameterName、MethodTypeParameterName、ClassTypeParameterName、CatchParameterName、AbbreviationAsWordInName、LambdaParameterName、FallThrough

    错误级别调整至提示级别

    OuterTypeFilename、WrongEncoding、FileTooLong、FileTabCharacter、IllegalTokenText、AvoidStarImport、OneTopLevelClass、Indentation、WhitespaceAround、UpperEll、
VariableDeclarationUsageDistance、AnnotationLocation、CommentsIndentation、PackageName、TypeName、MethodName、ConstantName、LocalVariableName、MemberName、
ParameterName

    警告级别调整至提示级别

    LineLength、ModifierOrder

  2. Java 敏感信息规则包

    此规则包将拆分,如对此规则包有自定义内容仍然会保留。此规则包原有规则将分别合入 Java 安全规则包和 敏感信息规则包中

  3. Java 安全规则包

    此规则包中将增加以下规则

    允许任意证书(CWE-295)、Logger敏感信息、打印堆栈信息、DmiConstantDbPassword、DmiEmptyDbPassword、LoggingPrivateData

2021.10.08 升级

CODING 近期上新了两款工具(semgrep、CODEDOG 安全漏洞检查),增强了以下规则包扫描能力:

Java 基础规则包

将 semgrep 下述规则,添加至 Java 基础规则包。

DefaulthttpclientIsDeprecated
DesIsDeprecated
HttpservletPathTraversal
InsecureHostnameVerifier
InsecureSmtpConnection
InsecureTrustManager
JaxRsPathTraversal
NoNullCipher
NoStaticInitializationVector
NoStringEqeq
PermissiveCors
ServerDangerousObjectDeserialization
ServletresponseWriterXss
UnrestrictedRequestMapping
UseOfMd5
UseOfSha1
WeakSslContext
XmlinputfactoryExternalEntitiesEnabled

JS 安全规则包

将 semgrep 工具下述规则,添加至 JS 安全规则包。

EqeqIsBad
GrpcNodejsInsecureConnection
HardcodedJwtSecret
JwtExposedCredentials
JwtNoneAlg

将 CODEDOG 安全漏洞检查工具下述规则,添加至 JS 安全规则包:

addEventListener message param 可控
Chrome ext function XSS
executeScript中参数拼接
Handlebars XSS
HTML attr injection
HTML injection
JQuery eval
JQuery HTML attr injection
JQuery XSS
JQuery 原型链污染
RCE in JS
URL Redirect
XSS in JS

TS 安全规则包

将 semgrep 工具下述规则,添加至 TS 安全规则包:

ReactControlledComponentPassword
ReactDangerouslysetinnerhtml
ReactMarkdownInsecureHtml

Go 安全规则包

将 semgrep 工具下述规则,添加至 Go 安全规则包:

AvoidSshInsecureIgnoreHostKey
DynamicHttptraceClienttrace
GrpcClientInsecureConnection
GrpcServerInsecureConnection
HardcodedEqTrueOrFalse
HardcodedJwtKey
InsecureModuleUsed
PathTraversalInsideZipExtraction
PotentialDosViaDecompressionBomb
PprofDebugExposure
SslV3IsInsecure
TlsWithInsecureCipher
UseOfDes
UseOfRc4
UselessIfBody
WipXssUsingResponsewriterAndPrintf

Python 安全规则包

将 semgrep 工具下述规则,添加至 Python 安全规则包。

AutoescapeDisabled
AvoidInsecureDeserialization
CommandInjectionOsSystem
DangerousTemplateString
DefaultMutableDict
DefaultMutableList
DictDelWhileIterate
EvalInjection
ExecInjection
GlobalsMisuseCodeExecution
HardcodedToken
InsecureCipherAlgorithmBlowfish
InsecureCipherAlgorithmDes
InsecureCipherAlgorithmIdea
InsecureCipherAlgorithmRc2
InsecureCipherAlgorithmRc4
InsecureCipherAlgorithmXor
InsecureCipherModeEcb
InsecureDeserialization
InsecureHashAlgorithmMd2
InsecureHashAlgorithmMd4
InsecureHashAlgorithmMd5
InsecureHashAlgorithmSha1
InsufficientEcKeySize
IsNotIsNot
ListModifyWhileIterate
ListenEval
MassAssignment
NoAuthOverHttp
NoStringsAsBooleans
OsSystemInjection
PathTraversalFileName
PathTraversalOpen
PythonLoggerCredentialDisclosure
ReturnInInit
SqlalchemySqlInjection
SsrfRequests
StringIsComparison
TempfileWithoutFlush
UnquotedCsvWriter
UnverifiedSslContext
UseDefusedXmlrpc
UseNoneForPasswordDefault
UselessEqeq
UselessIfConditional
UselessLiteralDict
UserEval
UserExec
WeakSslVersion
XssHtmlEmailBody
XssSendMailHtmlMessage
YieldInInit

Ruby 基础规则包

将 semgrep 工具下述规则,添加至 Ruby 基础规则包:

BadDeserialization
DivideByZero
FileDisclosure
FilterSkipping
ForceSslFalse
HardcodedHttpAuthInController
JrubyXml
JsonEntityEscape
MassAssignmentProtectionDisabled
MissingCsrfProtection
RubyJwtExposedCredentials
RubyJwtHardcodedSecret
RubyJwtNoneAlg
SslModeNoVerify
YamlParsing

PHP 基础规则包

将 semgrep 工具下述规则,添加至 Php 基础规则包:

AssertUse
BackticksUse
EvalUse
ExecUse
FileInclusion
FtpUse
McryptUse
PhpinfoUse
PregReplaceEval
WeakCrypto

将 CODEDOG 安全漏洞检查工具下述规则,添加至 PHP 基础规则包:

cURL SSRF
file_get_contents SSRF
get_headers SSRF
Information Disclosure
LDAP injection
Reflected XSS
Reflected XSS for echo
Remote code execute
remote file include
SQL injection
unserialize vulerablity
URL Redirector Abuse
variable shadowing
Xml injection

2022.02.14 版本升级

本次升级的新增内容:

  1. DartAnalyzer 工具。
  2. Dart 语言基础扫描规则包。
  3. Dart 语言规范规则包。
  4. iOS 审核规则包,主要用于排查上线苹果商店时可能会造成审核不通过的问题。
问题反馈 >
上一篇集成外部扫描工具
2022-12-07最近更新
感谢反馈有用
感谢反馈没用

在阅读中是否遇到以下问题?*

您希望我们如何改进?*

在阅读中是否遇到以下问题?*

您希望我们如何改进?*

在线支持

售前咨询

工单咨询

预约演示

扫码联系售前咨询专家

提供付费咨询及解决方案

扫码加入用户交流群