增强分析模块原创

除了平台提供的这些基础的代码分析规则，我们还提供了增强分析模块，增强分析模块提供了TCA这边字眼的代码分析工具和规则，后面就由我们TC团队的陈元伟老师来讲解分享，分享分析模块的申请和使用。大家好，我是陈薇。然后增强分析模块是指T这边的大量分析工具规则，涉及知识产权保护，不可避免需要用户在使用前提交license申请获取授权。接下来我会从怎么申请license，如何使用license，以及增强规则的案例分析这这三方面进行介绍。首先，怎么申请license？要想用上增强规则包，需要先在TC云官网平台上提交license申请，首先进入节点管理页面。然后点击进入license配置页面。

呃，点击申请license按钮。然后就会出现申请单的弹窗，接着填写申请单需要的信息有申请人的真实名称、申请人所在团队的官方全称。需要写你代表的公司、项目或者学校等组织的官方全称。如果代表的是个人的话，填写个人就好，团队类型的话分为个人、公司、学校。也是根据你代表的身份来填写邮箱地址的话，也就是填你自己能够快速被联系到的频繁使用的邮箱。手机号码也是一样，填写你能够被联系到的手机号码。应用场景可以按照你的需求来填写，比如你现在是想要使用增强模块里面的安全分析能力，就可以写体验安全分析能力。如果你主要是想检查代码缺陷，比如控制异常、内存泄露等缺陷的话，也可以如实填写这些信息。填写完成之后，点击确认按钮就提交完成了，之后只需要耐心等待管理员审批，一般一个工作日以内我们就会审批完成。

因为时间原因，我们这里直接展示的审批完成之后的状态。管理人员，审批完成之后，刷新页面，可以看到之前对应的申请单的状态已经变成了已通过的状态。然后右上角显示生效中以及显示对应的过期时间。同样，如果你部署的是开源版或者有版的话，想要体验其中的增强分析模块，可以跳转到私有云配置的页面，点击申请license按钮。也是需要填写相同的信息，不过会多了一个serve ID和client，这两个信息需要你配合开源版和私有版的license服务部署文档来填写。

因为开源版和私有版大多属于离线内网的部署，会与TC云官网这种SaaS的公有云场景不一样，会多出license服务部署和配置的过程，具体可以参考GI哈上对应的帮助文档，这里分享主要还是以PC云官网为主。得到lesson授权之后，PC增强分析模块就会立马生效，无需其他的配置操作，直接可以在对应的分析方案勾选增强分析模块的规则或规则包，启动分析任务。而具体哪些算是TC增强分析模块的内容呢？有两种方式可以筛选查看，第一种可以在工具页面上查看，我们进入工具页面。搜索TC。前缀，然后这些就是DC这边自研的增强分析工具。

可以点击查看具体的详情的规则描述，筛选使用适合自己项目的规则。第2种可以在分析方案里面查看官方整理的增强规则包。可以到项目。方案中。然后规则配置，然后这里筛选的分类中有一个增强的标签，点击筛选。然后就筛选之后的规则包，就是官方的增强规则包，勾选这些规则包之后，到方案定的分析项目里面进行一次全量分析，就可以轮到分析项目里面去。啊，点击前量分析这里不点。然后，目前增强规则包主要涉及代码安全、代码缺陷、信创迁移优化、代码规范等方面的规则，尤其是代码安全方面，针对每个主流编程语言都会有对应的强化安全规则包。因为规则比较多，这里只筛选几个比较经典的规则案例进行介绍。第一个案例是四口救物规则的案例。

我们进入呃问题页面，然后筛选一下。可以看到这个代码存在搜口注入漏洞。漏洞的原因是在构造搜口L查询语句的过程中，直接将用户输入的参数name和us两个参数字符串拼接到了SQL查询语句中，没有进行任何的验证和过滤操作。攻击者可以通过特特殊的参数值将恶意的SQL代码注入到查询语句中，从而导致序泄露、篡改或删除等安全问题。例如，如果攻击者将2的参数设置为后距为R1=1的字符串的话，因为1=1总数为帧构造的搜QL查询语句将返回数据表中的所有记录，这显然是不符合日期的行为，会导致数据泄露，需要开发修复。如果团队在TCA平台上配置过红源大模型的key的话，可以点击这里的AI修复建议。

AI会是基于这个缺陷漏洞给出问题分析问题建议和呃修复后的代码。这里的修复建议是。使用参数化查询或预编译语句的方式来执行式库查询。以确保用户输入的数据不会被解释为搜狗代码的一部分。第二个案例是依赖组件漏洞分析规则的案例。A规则支持解析项目依赖，看项目用了哪一些的三方组件，然后分析这些组件是否存在漏洞，有的话就会告警，并建议用户尽快升级到该组件的已修复版本。比如这个案例中检查出该代码库依赖了swa的XG开源组件，当前的版本号是1.4.5。

存在了37个漏洞，异常范围是小于等于1.4.13版本的，呃，所有的版本都有受影响，建议升级到1.4.14-DDK7版本。同样的，也可以点击AI修复建议的按钮，然后查看具体的修复建议。第三个案例是一个C加这个资源泄露规则的案例。我们到对应的项目里面去。因为他看到这个案例中啊，局部变量指针P初始化并使用完之后，并没有呃，进行一个释放的操作。

可能会导致出现内存泄露的问题。同样的，可以点击AI修复建议的按钮查看修复建议。以上就是这次展示的3个案例，当然我们还有多线程相关控制帧异常、相关路径穿越漏洞等其他安全或缺陷类的规则，感兴趣的话可以查看TC上对应规则的详情描述，也可以尝试使用DEMO项目测试。如果在日常使用中遇到什么不符预期的情况的话，欢迎在电话开源代码库上第一宿，也可以在开源群中进行反馈。以上就是这次分享的全部内容，感谢各位。