阿里代码依赖漏洞检测服务，高效杜绝代码安全隐患

云效Codeup提供依赖漏洞检测服务，能够高效杜绝代码安全隐患，为什么需要关注依赖包漏洞，在开发过程中使用依赖包漏洞检测越来越常见，无论是二方还是三方依赖，它帮助我们共享检测成果，重复使用他人开发的软件库，让我们能够专注于自己的创新，进而推进技术的快速发展，帮助企业方便的检查其工程依赖包的安全性。

立即体验

限定语言：Java、Python、Golang、Node.js

为什么需要关注依赖包漏洞

在开发过程中使用依赖包漏洞检测越来越常见，无论是二方还是三方依赖，它帮助我们共享成果，重复使用他人开发的软件库，让我们能够专注于自己的创新，进而推进技术的快速发展。

针对三方依赖包场景，据不完全统计 78% 的企业都在使用开源，但是他们是否有关注过这些开源依赖包的安全性呢？开源依赖提供方通常没有较多的预算进行安全性测试，黑客的主要攻击目标也是这些开源包内存在的漏洞，一旦击破一个，其影响范围很大。

为了杜绝安全隐患，企业需要做到以下三点：

1. 了解工程都使用了哪些依赖包；
2. 删除不需要的依赖包；
3. 检测并修复当前依赖的已知漏洞；

依赖包漏洞分级

云效Codeup 提供依赖包漏洞检测服务，帮助企业方便的检查其工程依赖包的安全性。

依赖包漏洞等级分为：BLOCKER,CRITICAL,MAJOR，等级划分根据NVD 国家漏洞数据库CVSS 分数评估制定。

BLOCKER: 高危漏洞，建议立即修复；

CRITICAL: 中危漏洞，建议尽快修复；

MAJOR: 低危漏洞；

开启扫描

代码库管理员角色有权限开启或关闭扫描。

点击代码库导航中「安全」模块，即①，展示当前可用安全服务列表。如果你是代码库管理员，可点击②直接前往库设置开启服务；如果不具备库管理器权限，可联系代码库管理员开启。

管理员点击②后进入代码库设置，选择 「集成与服务」-「依赖包漏洞检测」进行开启。

在弹出的 「用户承诺书」窗口中，阅读并勾选 「我已阅读相关协议并确认开通服务」，然后点击「确认」后开启服务。

 

触发方式：依赖包漏洞检测目前支持「代码提交」触发自动扫描。

检测参数：目前支持的检测语言类型

• Java
• Golang
• Python
• Node.js

对于Java 语言，需要执行编译命令以构建打包分析，Codeup 已为你提供了默认编译命令，如无特殊传参要求，可直接运行使用。

开启后返回安全模块，可见依赖包漏洞检测服务：

执行扫描

开启服务后将自动触发「默认分支」的扫描行为，其他分支需要主动触发。点击①切换分支，若当前分支未执行过扫描，

可点击②手动触发一次扫描：

查看扫描结果

当前分支存在扫描结果时展示如下，每行为一个存在漏洞问题的依赖包。

由于此处扫描均是基于提交进行的，点击①处可查看当前扫描结果对应的提交详情；点击②处可查看单条存在漏洞的依赖包详情：

最佳修复方案推荐

展开依赖包问题详情，当存在修复方案的时候，①处将为你生成最佳推荐，以帮助你快速处理依赖包安全风险问题：

漏洞详情

②处展示了当前依赖包内涉及的全部漏洞问题列表，点击可展开漏洞的详细说明：

提交列表查看

当存在新提交时，系统将自动执行扫描，通过扫描结果卡片页面可以快速查看依赖包漏洞检测结果：

 

综合分析使用云效依赖漏洞检测，能够高效杜绝代码安全隐患，云效代码管理 codeup是阿里云出品的一款企业级代码管理平台，提供代码托管、代码评审、代码扫描、质量检测等功能，全方位保护企业代码资产，帮助企业实现安全、稳定、高效的研发管理。

 立即体验

关于我们

了解更多关于阿里云云效DevOps的最新动态，可微信搜索并关注【云效】公众号； 

福利：公众号后台回复【指南】，可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》； 

看完觉得对您有所帮助别忘记点赞、收藏和关注呦；