安全Popular
代码扫描
自动分析代码以发现安全漏洞、bug和代码质量问题,通常集成到CI/CD管道中。
定义
代码扫描是集成到开发工作流中的SAST(静态应用安全测试)。GitHub Code Scanning使用CodeQL,一个像查询数据库一样查询代码的语义分析引擎。GitLab有SAST模板,Snyk和SonarCloud等平台提供类似功能。扫描在pull request上运行,发现严重问题时阻止合并。结果作为PR注释显示,便于开发者处理。
为什么重要
代码扫描在生产前捕获漏洞,此时修复成本最低。GitHub的Advanced Security已在开源代码中发现超过50,000个CVE。通过扫描每个PR,团队维持安全基线并防止回归。这是shift-left安全的关键组成部分。
示例
开发者打开一个带有SQL拼接的PR。GitHub Code Scanning检测到SQL注入风险,在易受攻击的行上添加警告注释,并阻止PR合并直到问题修复。
相关术语
code scanningGitHub code scanningCodeQLsecurity scanningautomated security