58Sec Code Scan

58Sec Code Scan由58安全团队自主研发，总结多年安全漏洞研究经验，能够有效发现Log4j2、Fastjson类的Java及node供应链漏洞和静态代码漏洞。
提供了在使用IDE本地研发过程中发现漏洞的能力，能大幅度减少测试、上线后发现漏洞带来的风险、漏洞治理成本。

支持功能

目前 58Sec Code Scan 支持的功能如下：

• 依赖包漏洞检测：检测 Java(Maven) 、 JavaScript(npm、yarn) 代码中引入的缺陷组建
• 敏感信息泄漏检测：检测前端代码 html、js 等敏感信息, 目前支持百度ak密钥泄漏
• 源代码漏洞检测：敬请期待

安装插件

• 打开 IDE 进入扩展拦
• 在应用商店中搜索 "58", 进行安装即可

配置插件

在进行Java依赖包漏洞扫描前, 需要配置mvn的路径(如果环境变量中存在可以不进行配置) 使用Ctrl+Shift+P打开命令面板(mac下是Command+Shift+P)，输入 open workspace settings打开工作区设置

在搜索栏搜索wubasec，对mvn路径进行配置(如：/usr/bin/mvn)。

使用场景

依赖包漏洞扫描

(1)58安全活动栏

点击左侧58安全活动栏，在漏洞检测视图容器中点击依赖包漏洞检查

(2)文件资源管理器上下文菜单

在pom.xml/package.json的文件上右键并单击依赖包漏洞检查

(3)编辑器上下文菜单

在pom.xml/package.json文件中右键并单击依赖包漏洞检查

(4)编辑器标题菜单

打开要检测的pom.xml/package.json文件，单击标题菜单上的按钮即可进行漏洞检测

扫描大约花费10-30s时间，扫描完成如无漏洞会展示如下消息

如存在漏洞扫描完成后立即跳转到58安全的活动栏，在依赖漏洞展示栏可以查看漏洞并根据修复建议进行修复

敏感信息泄漏检测

此项检测为自动的，根据规则检出漏洞并在代码处显示警告，开发人员只需要在遇到警告时，对漏洞进行修复即可。

当前支持规则：

百度ak密钥泄漏

远程源代码漏洞检查

远程源代码漏洞检查目前只支持Java语言，后续会考虑迭代Node项目。

点击左侧58安全活动栏，在漏洞检测视图容器中点击源代码漏洞检查，该插件会获取该项目的git地址和CommitId，拉取相应代码进行扫描，所以扫描前要将自己的代码上传至igit(后续会支持本地代码上传扫描，无需用户提交代码)。

成功发送请求时会显示创建扫描成功的提示，在左侧任务管理拦也有了新的一行，会显示任务的状态。

如果是父子工程(如SCF工程)，编译路径不在根目录，可以选择要扫描的模块，同一项目同一时间不能重复扫描。

扫描完成后如果有漏洞会给予下面的提示，点击查看漏洞可跳转至漏洞展示页面。

如果没有漏洞也会给予下面的提示。

查看具体漏洞详情，点击刚才扫描的任务一栏，会显示出扫描出的漏洞，以漏洞类型为单位，点击对应的漏洞类型可以查看修复方案及漏洞具体数据流。