5 款阿里常用代码检测工具，免费用！

简介：5 款阿里常用代码检测工具免费体验，仅需 2 步，Cherry键盘、公仔抱回家，100%拿奖！

面临问题

在日常研发过程中，我们通常面临的代码资产问题主要分为两大类：代码质量问题和代码安全漏洞。

1、代码质量问题

代码质量其实是一个老生常谈的话题，但问题是大家都知道它很重要，却又不知道如何去提升和维护这一团队的共同财产。一方面开发人员可能为了功能及时上线，疏忽了对质量的把控，另一方面开发人员编码习惯和程序理解风格各异。

长期下来代码质量下降通常会自成因果，因为业务压力大而趋于下降，又因此开发效率下降，进一步加大业务压力，导致恶性循环。

2、代码安全问题

安全类问题往往隐藏在缺乏安全意识的编码逻辑和未经检测或维护的开源依赖组件中，难以在日常开发和代码评审中被及时察觉。

代码安全问题也可以分两个方面进行分析：

• 编码安全问题，即：安全规范类问题，通过避免不符合规范的代码进入企业代码库，减少隐私数据泄露、注入类风险、安全策略漏洞的出现。

• 依赖安全问题，即：开源依赖三方组件引入的安全漏洞。根据 Synopsys 2020 开源安全 告显示，99%以上的组织使用了开源技术。使用开源组件本身带来的技术交流和站在巨人肩膀上协作、降低开发成本、加快迭代周期、提高软件质量等优势已经不必赘述，但是，开源软件带来一系列便利的同时，也暗藏大量安全风险，据审计，75%的代码库存在安全漏洞，其中 49%包含高危问题，另外 82%的代码库仍在使用超过 4 年的 outdated 组件。

代码安全类问题，一方面也需要进行准入性检查，根据业务场景和规范配置安全编码规范检测和卡点。另一方面需要定期维护，对于新爆发出的安全漏洞进行及时察觉并修复。

5 款阿里常用代码监测工具推荐

1、代码质量检测

• Java 代码规约检测

阿里巴巴在实践过程中，各个组织由于历史隔阂和业务风格差异，工程结构差别很大，代码风格迥异，规范不一，沟通成本大，合作效率低，维护成本高。集团发展到现在的规模，需要专业化的技术集团军迭代式、集约式发展，而不是动辄重复造轮，而真正专业化的团队一定会有统一的开发规约，这代表效率、共鸣、情怀、可持续。

基于上述背景，阿里制定了《阿里巴巴 Java 开发手册》，作为阿里内部 Java 工程师所遵循的开发规范，涵盖编程规约、单元测试规约、异常日志规约、MySQL 规约、工程规约、安全规约等。这是近万名阿里 Java 技术精英的经验总结，并经历了多次大规模一线实战检验及完善。

因此，代码规约的目标是：1、码出高效：标准统一，提升沟通效率和研发效能。2、码出质量：防患未然，提升质量意识和系统可维护性，降低故障率。3、码出情怀：工匠精神，追求极致的卓越精神，打磨精品代码。

代码规约通过 IDE 检测插件、流水线集成测试、代码评审集成等工具手段，深度融入了阿里巴巴的各种开发活动中。与此同时，在云效代码托管平台 Codeup 中，也内置集成了 Java 代码规约检测能力，为开发人员在代码提交和代码评审阶段提供更为方便的快速检查。

• 代码智能补丁推荐

缺陷检测和补丁推荐几十年来一直是软件工程领域的难题，又是研究者和一线开发者最为关心的问题之一，这里讲的缺陷不是 络漏洞、系统缺陷，而是隐藏在代码中的缺陷。帮助开发者识别这些缺陷，并进行修复，能够大幅提升软件质量。

基于业界和学术界较为流行的缺陷检测手段，并分析和规避其局限性，阿里巴巴 Codeup 的算法工程师们提出了一种新的算法，实现更加精准和高效的分析代码缺陷并推荐优化方案，该算法已被国际软件工程大会（ICSE）收录。

1、根据 commit message 中的关键词找出修复型的 commit，只取涉及文件小于 5 个的 commit（涉及文件过多的 commit 可能会稀释修复行为）。这个步骤十分依赖开发者良好的 commit习惯，希望开发者能用好 commit，写好 message。

2、从这些修复型 commit 中以文件级别提取删除内容和新增内容，即 Defect and Patch pairs(DP Pair)，这一步难免会有很大的噪声。

3、利用改进的 DBSCAN 方法对 buggy 和 patch 对同时聚类，将相似的缺陷和补丁代码聚在一起。（也可以做片段级的聚类）通过将相似的缺陷和修复做聚类，减少了上一步留下的大量噪声，同时历史代码提交中大家共同犯过的错具有很强的借鉴意义。

4、利用自研的模板提取方法总结缺陷代码和补丁代码，并根据不同的变量来适配上下文。

代码补丁推荐服务目前应用于合并请求的代码自动扫描场景，在代码评审过程中检测可优化代码片段并给出优化建议，将历史评审中的人工经验沉淀下来持续提升企业代码质量。

2、代码安全检测

• 敏感信息检测

近年来，业内发生多起敏感信息（API Key、Database credential、OAuth token 等）通过某些站点被无意识地泄露出去的事件，给企业带来了安全风险，甚至直接的经济损失。

在我们的实践过程中，我们也面临了类似的问题，硬编码问题出现非常高频，而又缺乏有效的识别机制。因此开发者和企业管理者亟需一款稳定健全的敏感信息检测方法和系统。通过调研我们了解到，目前已有的敏感信息检测工具大多单纯使用规则匹配或信息熵技术，导致其召回率或准确率难以满足预期。因此我们在规则匹配和信息熵技术的基础上，结合上下文语义，提出了一款采用多层检测模型的敏感信息检测工具——SecretRadar。

源伞检测引擎可以精确的追踪代码中的数据流向，拥有高深度高精度的函数调用链分析能力，可以找到跨越多层函数的深度问题。在发现缺陷的同时还能给出问题触发的过程，完整展示相关的控制流以及数据流，这样可以辅助开发者快速理解和修复问题，在软件开发早期更低成本地提高软件质量，大幅减少生产成本，提高研发效能。

• 依赖包漏洞检测

我们期望对于开源组件的安全可信程度，为开发者建立一种有效的检测和管理机制，因此我们实现了依赖包漏洞检测服务和依赖包安全问题 表。在实践过程中，开发者普遍反映依赖包漏洞修复成本大多高于修复自身编码漏洞，从而不愿意或难于处理此类问题。究其原因，一方面是大部分漏洞并非直接引入，而是依赖的第三方组件又间接依赖了其它组件，另一方面是不确定具体哪个版本是干净可用且兼容的。

5 款阿里常用代码检测工具免费体验，仅需 2 步，Cherry键盘、公仔抱回家，100%拿奖！

都 2021 年了，你还认为代码检测=语法/风格扫描/span>

大厂每年数百万采购的扫描软件，都在采购什么何不花钱白嫖/span>

落地 DevOps 的第 2 步是什么/span>

什么是接入成本最低的质量和安全提升工具br>
云效 DevOps 实验室特推出【1 分钟代码自动捉虫】活动

1-3 分钟，给你的代码做个全身体检吧。

体验完成，还可抽 Cherry 机械键盘、阿里云定制 GIt 命令鼠标垫、积木星球等，1000 分礼品，100%中奖！

点击下方链接，立刻参与活动！注：本活动仅限云效新用户参加

https://developer.aliyun.com/adc/series/activity/bugdetect

原文链接：https://developer.aliyun.com/article/790204/p>