腾讯云代码分析(TCA)开源版2022H1回顾

2024-09-27 12:21:09 浏览数 (4)

腾讯云代码分析(Tencent Cloud Code Analysis)于2021年12月31日开源,在2个月内收获1000 Star量,半年内累计发布27个大特性。

H1功能回顾

First Half Function Review

Q1 第一季度

First quarter ▼

实现任务分布式执行能力。实现工具在多台机器上并行执行;支持指定工具在指定的机器上运行;支持与本地启动的任务衔接,加速本地任务扫描;配套任务状态监控能力,及时重置初始化超时或机器掉线的任务。

支持在ARM64架构的国产化环境下运行。

新增管理后台界面。支持分析记录管理;支持节点管理;支持用户管理。

新增自研工具。检查含有CVE漏洞的组件,包含 Log4j 和 LogBack的检查。

Q2 第二季度

Second quarter ▼

上新合规检查规则包。此规则包在内部使用多年,现已在开源版上线。帮助简化开源合规流程,助力规避版权、安全、公关等问题。

增加健康探测接口。在启动前后探测各项内容是否正常启动。

新增部分PHP安全相关规则。

上线工具管理。支持接入自定义工具;支持为自定义工具创建规则;支持编辑自定义工具基础信息及运营状态。

支持部分子工具的License鉴权。

增加工具管理(管理员权限)。支持查看平台已支持的工具列表;支持调整自定义工具权限。

新增工具依赖管理。可自定义工具依赖项,拉取工具依赖时仅拉取指定项。

主流SCM平台Oauth授权。便捷高效接入各主流SCM平台(GitHub、腾讯工蜂、Gitee、Gitlab)的代码库。

上线Github Pages 文档站点。提供部署以及使用指南,更加清晰直观。

新增JavaScript、Python、Go、Java基础安全规则包。覆盖SQL注入、XSS、RCE、URL跳转、代码注入等基础安全问题。

依赖组件分析工具(测试版)。分析项目的依赖组件;分析依赖组件是否存在漏洞等问题。

支持API扫描工具(测试版)。助力Java隐私合规分析。

多语言非编译型静态代码分析工具(测试版)。支持代码规范检查,支持自定义规则。

分支过滤配置。适用于MR触发的合流测试场景,准确识别出MR源分支引入的新增问题。

禁用、删除功能。支持禁用[团队]、[项目];支持删除[代码库]、[分支项目]。

Localscan支持工具并发。Localscan执行期间,并发执行分析工具,提高执行效率。

QuickScan模式。支持快速扫描临时代码文件或目录,无需与SCM代码仓库绑定。

管理后台新增。增加【项目管理】、【团队管理】。

上线 TCA Action插件。可以直接在GitHub工作流中快速体验代码分析。

H1事件回顾

First Half Event Review

2022年3月起,逐步打造腾讯云代码分析(TCA)开源版沟通生态圈。旨在让业内各从业爱好者可以轻松加入TCA开源版的建设,与个人或企业建立联系,互相交流经验,收集反馈。目前共维护105位活跃用户,范围覆盖80家组织/公司/院校。

2022年5月,受腾源会邀请参与[开源摘星

计划(WeOpen Star)]。

0 人点赞