使用代码扫描
Flow 提供了开箱即用的代码扫描能力,在流水线中添加「代码扫描」任务,即可启用。用户可以通过以下方式添加代码扫描任务。使用模板新建流水线,选择包含「代码扫描」任务的模板 在已有的流水线中,添加新的阶段,并选择「代码扫描」任务 ...
使用自定义代码扫描规则
目前 Flow 已经内置了支持 Java,JavaScript,Python,Go,TypeScript,PHP 等...对于需要对扫描规则进行调整的用户可以使用自定义代码扫描规则。目前支持自定义代码扫描规则如下:ESLint自定义规则 TypeScript自定义规则 Java P3C自定义规则
TypeScript自定义规则
添加TS代码扫描任务 添加任务并选择TypeScript代码扫描任务,如下所示:使用自定义规则 默认情况下,Flow会使用 TS Lint 默认的代码扫描规则。为了使用自定义的代码扫描规则用户需要在项目根路径下提供tslint.json文件。初次使用可以使用...
阿里巴巴代码规约检测
代码扫描支持-全量扫描和增量扫描 阿里巴巴代码规约检测全量扫描通过RDC对Java代码工程进行编码规约全量检测优点:支持跨文件引用,代码扫描全面缺点:但扫描速度较慢,问题量会比较多 阿里巴巴代码规约检测增量扫描是基于代码的一次push,...
ESLint自定义规则
添加代码扫描任务 添加流水线任务并选择JavaScript代码扫描,如下所示:使用自定义规则 默认情况下Flow使用内置的eslint检查规则,如果需要使用自定义规则,需要在任务配置中勾选“使用本地ESLint配置”,勾选后需要确保项目根路径下包含....
管理应用接口
接口管理对应用接口定义进行统一管理,支持根据代码中的@...您可以在 代码扫描上报接口信息 面板查看代码扫描状态,如果上报成功,则接口信息更新成功;如果上报失败,则可查看失败的原因。您可以单击刷新,查看最新代码扫描状态。
管理应用
应用配置完成后,您可以管理全局代码仓库权限、编辑应用相关配置。前提条件 已配置应用,具体操作请参见 创建应用配置。管理全局代码仓库权限 在构建流水线...选择代码扫描规则页签,可以对规则集进行配置。具体操作请参见 配置代码扫描规则。
2022/8/10 更新日志
新功能 JavaScript 代码扫描(ESLint)支持增量扫描。
Flow使用高阶帮助
代码扫描 Flow 为主流语言提供了开箱即用的代码扫描能力,为用户提供了快速检测代码质量的能力。支持语言和规则 目前 Flow 支持扫描的语言和规则,如下表所示:语言 扫描能力 规则说明 Java 阿里巴巴规约扫描 根据阿里巴巴多年经验提炼的...
代码扫描能力
Flow 为主流语言提供了开箱即用的代码扫描能力,为用户提供了快速检测代码质量的能力。支持语言和规则 目前飞流支持扫描的语言和规则,如下表所示:语言 扫描能力 规则说明 Java 阿里巴巴规约扫描 根据阿里巴巴多年经验提炼的 总共7大类...
代码管理:安全规范的代码管理
开启企业级代码安全保障,代码提交、代码扫描、代码评审轻松上手。第一步:开启企业级代码安全;第二步:将您的代码托管起来。
指定扫描规则集
配置指定规则集 配置规则集如下图所示:1)在流水线编辑状态,点击相应的规约扫描卡片 2)在展开的卡片抽屉上,点击任务列表-如图中:Java 代码扫描 3)在规约集合处,配置相应的规则集
指定或排除目录扫描
配置目录扫描:1)在流水线编辑状态,点击相应的规约扫描卡片,2)在展开的卡片抽屉上,点击任务列表-如图中:Java 代码扫描 3)子目录:配置扫描的相应目录;排除子目录:配置排除在扫描范围内的相应目录。
设置扫描防护
扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目录遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。前提条件 已开通Web应用防火墙实例,且实例满足以下要求:包年包月实例:实例...
Java P3C自定义规则
自定义规则集 用户可以从 Github 获取默认的规则集合文件...添加 Java 代码扫描如下所示:在任务配置中,勾选“使用自定义规则目录”选项,并制定自定义规则文件所在目录,如下图所示:保存并运行流水线即可使用代码库中定义的自定义规则集。
防工具恶意扫描/网站架构探测场景
目前互联网扫描工具泛滥,且对技术要求很低,导致大量网站被探测架构,产生漏洞,影响网站安全性。您可以开启扫描防护模块对您的网站进行防护,提升网站安全等级。配置方法 参考 配置扫描防护 完成规则策略配置。使用说明 配置时请打开 ...
流水线组件
代码检测(PMD)PMD(Programming Mistake Detector)组件提供代码扫描功能,支持查看扫描结果详情。问题处理 根据扫描结果进行代码修复,解决对应的问题。对于不需要扫描的代码,提前在 CI 配置页面进行配置。代码合并(PMD)代码合并组件...
扫描代码与合并模型
本文基于模型和应用支持多分支的前提,为您介绍如何进行代码扫描和模型合并。背景信息 在使用BizWorks做设计开发的过程中,可能在生成了脚手架做开发时,却发现需要修改模型的情况。而此时已经生成了代码,如果再返回去修改模型、重新生成...
Go应用构建并部署K8s
3、配置代码扫描 在镜像构建任务前面添加代码扫描任务,搜索“Go 代码扫描“,选中添加Go 代码扫描任务。4、配置单元测试 在Go代码扫描下面添加Go单元测试任务,搜索“Go 单元测试“,选中添加Go 代码单元测试。5、配置镜像构建任务 你需要...
初创企业如何高效进行代码管理
云效Codeup 是一款企业级代码管理平台,提供代码托管、代码评审、代码扫描、质量检测等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的研发管理。初创企业面临的问题 作为一家初创企业,代码托管如果选择自建,需要花费成本...
北纬科技:从自研PaaS到拥抱云效,实现持续交付
3、安全优化 代码质量优化:得益于云效的代码扫描流水线中的代码扫描及安全扫描的任务插件,我们对于质量和安全的接入管理方便。我们在流水线模板中引入了代码扫描及安全扫描,同时在生产环境加入了人工卡点的流程,作为审核,保证扫描结果...
Hive调研工具准备
运行环境准备 服务器选择 Hive扫描工具(简称hive-scanner)需要安装和运行在工具服务器上,工具服务器需要与Hive 集群的metastore db环境互通。规格系统 此外工具服务器需要至少 2C4G 的机器规格,对于操作系统没有依赖。环境依赖 hive-...
Codeup使用高阶帮助
Codeup 是阿里云出品的一款免费的企业级代码管理平台,提供代码托管、代码评审、代码扫描、质量检测等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的研发管理。☞ 立即体验 为什么使用 Codeup?Codeup 支持企业级数据隔离...
持续交付和质量红线
RDC提供了完备的Pipeline,在整个研发过程开发代码提交后自动触发单元测试,静态代码扫描。应用发布打包,部署,自动触发集成测试,构成了开发和测试共同参与的一套流水线.在持续交付的实践中,这样的做法可以有效的加快开发测试效率,以最小的...
什么是持续交付
基于 Gitflow 工作流的最佳实践,通过组件灵活编排,轻松实现代码扫描、代码评审、自动化测试、自动编译部署等核心功能,快速定位问题,更快速完成发布更新,以持续交付实践不断提高研发效率。优势 可扩展 灵活的插件式架构,可轻松扩展...
扫描上报和合并代码模型
版本变更扫描规则说明 0.17.0版本及以后版本的Bizworks Toolkit其代码扫描规则有以下变化:领域层引用到的未标注对象扫描为值对象。引用情况包含以下几种:领域服务方法的出入参。领域对象的字段、继承的类,以及领域行为的出入参。值对象...
质量红线
配置质量红线 质量红线当前支持在测试相关的任务中进行设置,包含:代码扫描能力 单元测试 在流水线编辑状态,点击测试相关的任务,点击“添加红线”,即可出现红线信息,用于指定当前测试任务必须达到的标准。以扫描任务为例,可以设定...
配置扫描防护
扫描工具封禁:对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察处置。新建防护策略-扫描防护 首次配置扫描防护模块时,您必须新建一个扫描防护规则模板,并配置...
什么是主机应用部署
代码托管 云效代码管理Codeup 是阿里云出品的一款企业级代码管理平台,提供代码托管、代码评审、代码扫描、质量检测等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的研发管理。在线研发 云效云端开发 DevStudio 是一款阿里...
扫描防护规则
扫描工具封禁:对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察处置。前提条件 已开通WAF 3.0服务。具体操作,请参见 开通包年包月WAF 3.0、开通按量付费WAF 3....
IDEA上BizWorks Toolkit操作入口介绍
IDEA右侧Bizworks界面有两个页签:本地模型(本地代码扫描之后得到的模型)、平台模型(从平台上下拉的模型缓存,可能存在不是最新的情况),单击右键可以触发当前页签支持的所有功能操作项。本地模型:单击BizWorks 本地模型 页签,右键...
扫描防护
开启或关闭扫描工具封禁 对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察的处置。最终执行.:当匹配到的请求命中规则时,要执行的防护动作,详细信息请参见 ...
Java应用构建并部署SAE
对源代码进行一定的质量检测,比如单元测试,代码扫描 2.将源代码构建成为可交付的制品,比如 Jar/War 3.对制品进行测试环境验证 4.使用完成验证的制品进行线上部署 上述活动需要有不同角色的参与:开发、测试、运维。如何保证不同参与者...
变更日志
兼容建模平台内置集合类型缺失PSM(代码扫描上去信息)情况下的Inspection和QuickFix。扫描和上报过程对重复的模型进行校验和提示。支持枚举上报后再通过QuickFix生成。支持类型长度过长提示。Changed 调整扫描代码为模型、同步平台模型和...
研发过程代码与平台模型的双向联动
相关操作文档,请参见:平台:生成代码 扫描代码与合并模型 插件:代码生成 代码扫描 模型上报 双向联动研发流程 不区分角色权限的简单双向联动研发流程 简单流程考虑研发人员同时拥有模型和代码的操作权限,研发人员对自己实现业务所对应...
Node.js构建vue工程发布到OSS
流水线的基本组成 进行代码扫描,使用云效内置的“JavaScript 代码扫描”步骤 进行单元测试,使用云效内置的“Node.js 构建”步骤 进行测试环境发布,使用云效内置的“Node.js 构建”步骤和“OSS 上传”步骤 进行生产环境发布,和第三步...
云效赋能一站式企业消费管理领先品牌「差旅壹号」持续...
结合公司情况及云效功能支持设计合适的流水线 流水线大致可分为4步:拉取分支代码、代码扫描、代码编译、镜像构建并上传仓库、部署。结合企业实际情况可增加:集成sonarqube、集成自动化接口测试 差旅壹号环境分研发集成环境、预发布环境、...
BizWorks Toolkit常见问题
提示代码扫描为模型后存在相互覆盖的情况怎么处理?Java代码中的一些特定内容是如何支持的?如何快速检查代码是否符合平台规则?扫描后在Tool Window中没有任何模型怎么处理?如何获取idea.log?插件异常报告 项目中存在bizworks.yml文件但...
使用代码检测提升代码质量和安全
2、开启代码扫描服务 云效代码管理内置了多种扫描服务,为了保证每次提交都能及时的获取扫描结果,建议在创建代码库后,立即前往代码库「设置」-「集成与服务」开启自动化扫描服务。说明 立即体验:云效代码管理 点击期望开启服务右侧的...
应用静态改造
通过静态代码扫描方式,对应用的SQL代码进行识别,快速发现因为迁移应用代码需要改造的位置,并使用程序进行自动化改造。对于可以自动替换的SQL进行自动文件改造,对于无法自动替换的SQL提示改造信息。前提条件 源数据库类型为:Oracle、Db...
- 产品推荐
- 这些文档可能帮助您