【腾讯云代码分析】隐藏在代码库中的危机：如何发现明文敏感信息

官网地址：（点击最下方【阅读原文】可直达）https://tca.tencent.com/

官网介绍：https://cloud.tencent.com/product/tcap 官方开源：https://github.com/Tencent/CodeAnalysis 国内镜像：https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis

背景介绍

▼

项目代码内部有一些token、密码等敏感信息，不经意间将这些信息以明文形式暴露在代码中，可能带来巨大的安全风险。有些同学会收到公司的安全工单，就是因为将一些敏感信息放到了代码库中，这很容易造成密码泄露。

因此如何有效并准确地将问题暴露出来，是我们需要探讨和思考的。最简单的方法就是根据密码特征，通过静态扫描的方式，从代码中检测。大多数敏感信息都会有特征，比如腾讯云API密钥的开头是AKID，后面跟32位的大小写字母+数字组合，就可以用正则表达式：AKID[a-zA-Z0-9]{32} 来检测。

工具介绍

▼

TCA 提供强大的正则扫描工具来支持敏感信息检测：TCA-Armory-R，属于增强分析模块，需要用户额外部署 License 鉴权微服务，并邮件申请 License。

TCA-Armory-R支持用户自定义规则，只需要填写需要检测的正则表达式，将规则加入到分析方案，就可以在TCA中扫描、追踪、处理问题。

工具以及规则参数的详细介绍可以参考(网址)：https://tencent.github.io/CodeAnalysis/zh/guide/%E4%BB%A3%E7%A0%81%E6%A3%80%E6%9F%A5/%E5%B7%A5%E5%85%B7/TCA-Armory-R.html

重点关注： entropy 参数，可以理解为字符串的混乱程度，字符越随机，熵越大。因此，设置合适的熵参数，可以过滤掉一些误报或者人为测试用例

规则包介绍

▼

敏感信息的种类是很多的，比如密码、token、凭证、api-key等，且各个平台的密码又会有不同的特征，想要搜集所有的密码特征并编写正则规则也是不小的工作量。

因此，TCA整合了TCA-Armory-R的一系列扫描敏感信息的规则到【增强敏感信息扫描】规则包，包含了217条常见敏感信息检测规则，比如TencentCloudAPIKey、OpenaiApiKey、GithubOauth、GoogleOauthAccessToken、AlibabaSecretKey、……

规则包使用

▼

在TCA分析方案中添加【增强敏感信息扫描】规则包。

如果规则包不能满足要求，可以到TCA-Armory-R中自定义规则，并将规则加入分析方案-自定义规则包中，即可使用该规则进行扫描。