CodeAnalysis
CodeAnalysis copied to clipboard
Tencent
Static Code Analysis - 静态代码分析
TCA漏洞检出大量json.loads(request.body)的严重漏洞,经过网上资料查阅,发现并不存在漏洞利用的方法。是否可以给出具体的demo说明确实存在相关风险。
公司对代码使用加密软件加密代码,读取代码的进程需要被登记到加密软件中,否则读到的是加密后的文件,显示是乱码。要正确读取加密的代码文件,需要把读取文件的进程登记到加密软件中。
流水线里调用client 去做代码分析时:python3 codepuppy.py localscan -t 0712b895f30c5e958ec71a7c22xxxxxxxxx --org-sid EaHPmXSHfUh --team-name TC1 -s /workspace/src --branch $gitlabSourceBranch --language C/C++ --ref-scheme-id 12 。 如果前面没有手动在web端上创建对应的项目的时候,会存在几个问题: 1,看扫描结果打印的链接,是创建了新的分析项目了,但是分析项目并无新增; 2,在分支概览,可以看到新扫描的分支,但是选择新代码分支无法查看。只有通过扫描结果处输出的链接才可以进行扫描结果查看,猜测是因为扫描结果打印的链接带了分析项目ID的原因; 建议扫描遇到新增分支时,自动添加到分析项目里,并且进行显示。
原服务器TCA代码路径: /home/ningjunwei/code/CodeAnalysis-main 迁移后服务器 TCA代码路径:/home/ningjunwei/code/CodeAnalysis-main 升级部署指令:TCA_IMAGE_BUILD=true ./quick_install.sh docker deploy   
在项目分析过程中,第一次进行全量分析,后面进行增量分析,希望增量分析能一直以全量分析为基线。如果有多次全量分析,用户可以自主选择一个全量分析节点作为基线。
默认url值最后面少一个斜杠,urljoin方法拼接会漏掉main导致客户端使用该配置文件启动扫描或节点报json.load报错
下面的注释里面的数字是3gpp协议的章节号,被误报为IP,建议检查规则更严格些,减少误报 