官网地址:(点击最下方【阅读原文】可直达)https://tca.tencent.com/
官网介绍:https://cloud.tencent.com/product/tcap 官方开源:https://github.com/Tencent/CodeAnalysis 国内镜像:https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis
▼
项目代码内部有一些token、密码等敏感信息,不经意间将这些信息以明文形式暴露在代码中,可能带来巨大的安全风险。有些同学会收到公司的安全工单,就是因为将一些敏感信息放到了代码库中,这很容易造成密码泄露。
因此如何有效并准确地将问题暴露出来,是我们需要探讨和思考的。最简单的方法就是根据密码特征,通过静态扫描的方式,从代码中检测。大多数敏感信息都会有特征,比如腾讯云API密钥的开头是AKID,后面跟32位的大小写字母+数字组合,就可以用正则表达式:AKID[a-zA-Z0-9]{32} 来检测。
▼
TCA 提供强大的正则扫描工具来支持敏感信息检测:TCA-Armory-R,属于增强分析模块,需要用户额外部署 License 鉴权微服务,并邮件申请 License。
TCA-Armory-R支持用户自定义规则,只需要填写需要检测的正则表达式,将规则加入到分析方案,就可以在TCA中扫描、追踪、处理问题。
工具以及规则参数的详细介绍可以参考(网址):https://tencent.github.io/CodeAnalysis/zh/guide/%E4%BB%A3%E7%A0%81%E6%A3%80%E6%9F%A5/%E5%B7%A5%E5%85%B7/TCA-Armory-R.html
重点关注: entropy 参数,可以理解为字符串的混乱程度,字符越随机,熵越大。因此,设置合适的熵参数,可以过滤掉一些误报或者人为测试用例
▼
敏感信息的种类是很多的,比如密码、token、凭证、api-key等,且各个平台的密码又会有不同的特征,想要搜集所有的密码特征并编写正则规则也是不小的工作量。
因此,TCA整合了TCA-Armory-R的一系列扫描敏感信息的规则到【增强敏感信息扫描】规则包,包含了217条常见敏感信息检测规则,比如TencentCloudAPIKey、OpenaiApiKey、GithubOauth、GoogleOauthAccessToken、AlibabaSecretKey、……
▼
在TCA分析方案中添加【增强敏感信息扫描】规则包。
如果规则包不能满足要求,可以到TCA-Armory-R中自定义规则,并将规则加入分析方案-自定义规则包中,即可使用该规则进行扫描。