Codiga

Codiga 是什么？

Codiga 是一个可自定义的静态代码分析引擎，能够在软件开发生命周期中检测并修复代码质量和安全问题。它在 IDE 中提供实时分析，还可集成到 CI/CD 式工作流中，并报告代码质量指标。

Codiga 的核心目的是帮助开发者尽早发现问题，并通过自动化建议或修复来解决，包括符合 OWASP 10 和 SANS/CWE Top 25 等标准的セキュリティ检查。

主要特性

• 可自定义静态代码分析规则：使用 Codiga Hub 中的规则，或在浏览器中设计自己的规则，实现针对代码库的定制检查。
• IDE 中实时分析与修复：在支持的编辑器中获取即时反馈，并应用建议修复。
• 常见漏洞类别的安全分析：包含符合 OWASP 10、MITRE CWE 和 SANS/CWE Top 25 的安全规则支持。
• 自动化安全修复：在 IDE 中检测并修复问题，包括 泄露的密钥 如 SSH 密钥和 API 令牌。
• 自动化代码审查：运行支持 12+ 种语言 和 1800+ 条规则 的代码审查检查，包括多分支支持。
• 覆盖常见工作流的平台：兼容 VS Code、JetBrains、Visual Studio、GitHub、GitLab 和 Bitbucket。
• 代码片段与分享：创建并私密分享代码片段给团队，或公开分享，并使用 Hub 中的片段。

如何使用 Codiga

1. 在 IDE 中启动：在支持的编辑器（如 VS Code、JetBrains 或 Visual Studio）中安装/使用 Codiga，获取实时静态分析和修复建议。
2. 选择或创建分析规则：应用 Codiga Hub 中的现有规则，或在浏览器中创建自己的分析规则（包括测试和分享）。
3. 集成到协作工作流：在支持平台（GitHub、GitLab、Bitbucket）上运行检查，并在团队内分享规则。
4. 审查安全发现：使用安全分析功能发现映射到 OWASP 10 和 SANS/CWE Top 25 的问题，并应用可用自动化修复。

使用场景

• 编码期间开发者反馈：开发者在 IDE 中使用 Codiga，即时识别问题并在提交代码前应用修复。
• 团队标准规则定制：团队在浏览器中创建静态分析规则，进行测试，并分享规则集以确保贡献者一致执行。
• 常见风险区域安全强化：开发期间运行 Codiga 安全分析，检测泄露密钥（如 API 令牌或 SSH 密钥）及其他映射到 OWASP 10 / SANS-CWE Top 25 的漏洞模式。
• 大规模预合并代码审查：团队使用自动化代码审查，在多分支工作流中快速获取代码质量问题反馈。
• 推送前类似 CI 的关卡：利用站点描述的 git hook 行为，Codiga 在推送前检查代码，并在存在未解决问题时阻止推送分支。

常见问题

• Codiga 支持哪些 IDE 和平台？ Codiga 支持 VS Code、JetBrains、Visual Studio，并兼容 GitHub、GitLab 和 Bitbucket。

• 我可以创建自己的静态分析规则吗？ 可以。站点表示可在浏览器中不到 5 分钟设计静态代码分析规则，并创建、测试和分享。

• Codiga 是否同时关注安全和通用代码质量？ 是的。它包含支持 OWASP 10 和 SANS/CWE Top 25 的 安全分析 部分，并提及 MITRE CWE。

• Codiga 可以自动修复问题吗？ 站点表示 Codiga 提供 自动修复代码 和 自动化安全修复，并在 IDE 中应用修复。

• Codiga 的自动化审查覆盖哪些语言和规则？ 它支持 12+ 种语言 和 1800+ 条规则 用于自动化代码审查。

替代方案

• 内置 linter/静态分析器和 IDE 规则框架：许多 IDE 提供静态分析和扩展，但 Codiga 强调可自定义规则工作流（Hub + 浏览器规则创建）和 IDE + 工作流集成。
• 仅 CI 静态分析工具：有些工具主要在 CI 管道中运行；Codiga 同时突出 IDE 内实时分析和修复。
• 专用密钥扫描工具：如果主要目标是密钥检测，密钥扫描器可能在此领域更专业。Codiga 将泄露密钥检测与更广泛的静态分析和代码审查规则结合。
• 通用代码审查平台：代码审查工具可在审查时标记问题，但 Codiga 定位为静态分析引擎，支持规则创建、自动修复和安全对齐检查。