【腾讯云代码分析】强化安全规则包

图片

官方开源仓库：

（点击最下方【阅读原文】可直接跳转）

https://github.com/Tencent/CodeAnalysis

国内工蜂镜像地址：https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis

规则包介绍

该规则包重点关注各语言的安全类问题，针对OWASP Top10 中常见的漏洞进行分析，包括注入攻击、 XML 外部实体攻击、XSS跨站脚本攻击、反序列化漏洞、敏感数据暴露、URL重定向漏洞等，并结合CWE中常见漏洞，比如服务端请求伪造（SSRF）等，进行专项安全漏洞分析。

强化的安全规则主要有“致命”和“错误”级别，针对这些安全漏洞，TCA可以准确识别漏洞所在位置并提供修复建议。

已支持语言：Go、PHP、Python 已支持框架：ThinkPHP、Django

注：该规则包由TCA独立工具支持，需申请授权免费使用，申请传送门：

《CLS使用文档》：https://github.com/Tencent/CodeAnalysis/blob/main/server/cls/README.md

启用规则包

分析方案 -> 代码检查 -> “强化”规则包 -> 启用/查看规则

图片

问题示例

反序列化漏洞

图片

XSS跨站脚本攻击

图片

SSRF

图片

命令行注入

图片

SQL注入

图片

图片