腾讯云代码分析(Tencent Cloud Code Analysis)于2021年12月31日开源,在2个月内收获1000 Star量,半年内累计发布27个大特性。
H1功能回顾
First Half Function Review
Q1 第一季度
First quarter ▼
实现任务分布式执行能力。实现工具在多台机器上并行执行;支持指定工具在指定的机器上运行;支持与本地启动的任务衔接,加速本地任务扫描;配套任务状态监控能力,及时重置初始化超时或机器掉线的任务。
支持在ARM64架构的国产化环境下运行。
新增管理后台界面。支持分析记录管理;支持节点管理;支持用户管理。
新增自研工具。检查含有CVE漏洞的组件,包含 Log4j 和 LogBack的检查。
Q2 第二季度
Second quarter ▼
上新合规检查规则包。此规则包在内部使用多年,现已在开源版上线。帮助简化开源合规流程,助力规避版权、安全、公关等问题。
增加健康探测接口。在启动前后探测各项内容是否正常启动。
新增部分PHP安全相关规则。
上线工具管理。支持接入自定义工具;支持为自定义工具创建规则;支持编辑自定义工具基础信息及运营状态。
支持部分子工具的License鉴权。
增加工具管理(管理员权限)。支持查看平台已支持的工具列表;支持调整自定义工具权限。
新增工具依赖管理。可自定义工具依赖项,拉取工具依赖时仅拉取指定项。
主流SCM平台Oauth授权。便捷高效接入各主流SCM平台(GitHub、腾讯工蜂、Gitee、Gitlab)的代码库。
上线Github Pages 文档站点。提供部署以及使用指南,更加清晰直观。
新增JavaScript、Python、Go、Java基础安全规则包。覆盖SQL注入、XSS、RCE、URL跳转、代码注入等基础安全问题。
依赖组件分析工具(测试版)。分析项目的依赖组件;分析依赖组件是否存在漏洞等问题。
支持API扫描工具(测试版)。助力Java隐私合规分析。
多语言非编译型静态代码分析工具(测试版)。支持代码规范检查,支持自定义规则。
分支过滤配置。适用于MR触发的合流测试场景,准确识别出MR源分支引入的新增问题。
禁用、删除功能。支持禁用[团队]、[项目];支持删除[代码库]、[分支项目]。
Localscan支持工具并发。Localscan执行期间,并发执行分析工具,提高执行效率。
QuickScan模式。支持快速扫描临时代码文件或目录,无需与SCM代码仓库绑定。
管理后台新增。增加【项目管理】、【团队管理】。
上线 TCA Action插件。可以直接在GitHub工作流中快速体验代码分析。
H1事件回顾
First Half Event Review
2022年3月起,逐步打造腾讯云代码分析(TCA)开源版沟通生态圈。旨在让业内各从业爱好者可以轻松加入TCA开源版的建设,与个人或企业建立联系,互相交流经验,收集反馈。目前共维护105位活跃用户,范围覆盖80家组织/公司/院校。
2022年5月,受腾源会邀请参与[开源摘星
计划(WeOpen Star)]。
