CodeAnalysis
CodeAnalysis copied to clipboard
Tencent
Static Code Analysis - 静态代码分析
       
部署方式:源码部署 问题:main worker 日志显示redis无法连接,tca server 任务执行详情页面卡住不动 
## 需求背景 打算向全公司推广 TCA,有个难点是因为公司研发人员比较多,账号分发和密码管理比较难执行 初步了解到现在 TCA 支持的两种创建账号的方式(邀请链接、手动创建)都不能很好满足需求,目前公司在用 LDAP 作用内部账号源,希望 TCA 认证方式能支持 LDAP ## 需求详情 1. 后台支持配置 LDAP 信息作为登录源 2. 登录认证支持 LDAP
通过检查执行返回值和执行log,来判断cobra工具是否执行正常。 可以参考以下示例: https://github.com/Tencent/CodeAnalysis/blob/488785b0553d9411dedf1d169d31fa2cf3492dc0/client/tool/checkstyle.py#L230 https://github.com/Tencent/CodeAnalysis/blob/488785b0553d9411dedf1d169d31fa2cf3492dc0/client/tool/checkstyle.py#L254
## 背景 目前Cobra使用的版本是[v2.0.0-alpha.5](https://github.com/TCATools/common-cobra-v2.0.0-alpha.5),存在以下问题: - 依赖安装问题: - 执行 `pip3 install -r requirements.txt` 安装依赖之后,默认的 `itsdangerous` 依赖的版本不可用,会出现以下问题 - 需要更新 `pip install itsdangerous==2.0.1` ## 需求 - 验证新版的 https://github.com/FeeiCN/Cobra/releases/tag/v2.0.0-alpha.6 是否还存在这个依赖问题 - 更新TCA中的cobra的[版本](https://github.com/TCATools/common-cobra-v2.0.0-alpha.5)。可以新建一个工具仓库存放。
1.目前全为低危漏洞,希望能按高中低划分(tx安全内部应该有吧) 2.当前规则名均为“低危漏洞”,若新出漏洞时想搜索项目是否包含该组件,无法实现该需求,只能被动等待官方更新规则包。
添加git仓库地址时,gitee只有https方式。凭证账号密码反复确认正确无误。 但是在启动分析时提示“代码库密码错误”,无法进行分析
我司开发人员将CodeAnalysis/server/projects/main/apps/scan_conf/management/commands/open_source/semgrep.json 等各个规则的d中description字段翻译成中文后重新部署CodeAnalysis,查看数据库表scan_conf_checkruledesc中description是中文了,但是扫描结果详情中依然是英文的。
