Corgea

一款 SAST安全檢測(cè)工具，能夠發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞、代碼邏輯漏洞等安全問(wèn)題，可以檢測(cè)到 SQL 注入、跨站腳本攻擊，漏報(bào)也很低，最高不到 5%，還自動(dòng)修復(fù) 74% 的安全問(wèn)題。

#Ai工具箱 #Ai編程建站

訪問(wèn)Corgea

Corgea簡(jiǎn)介

Corgea 是一款 SAST安全檢測(cè)工具，能夠發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞、代碼邏輯漏洞等安全問(wèn)題，可以檢測(cè)到 SQL 注入、跨站腳本攻擊，漏報(bào)也很低，最高不到 5%，還自動(dòng)修復(fù) 74% 的安全問(wèn)題，每人每周能省出 6 個(gè)小時(shí)；Java、Python 等多語(yǔ)言都支持，還能給出代碼修復(fù)建議、策略管理、阻斷規(guī)則的功能。

Corgea：基于AI的SAST代碼安全掃描修復(fù).webp

功能模塊

漏洞檢測(cè)：能揪出業(yè)務(wù)邏輯漏洞，比如認(rèn)證繞過(guò)；代碼邏輯漏洞，像 SQL 注入、跨站腳本攻擊 XSS、不安全反序列化；還有硬編碼憑證、敏感信息暴露這些問(wèn)題。
優(yōu)化：能篩掉不少誤報(bào)，大概能減少 30% 的工單，誤報(bào)率控制在 <5%。
自動(dòng)修復(fù)：74% 的安全問(wèn)題都能自動(dòng)修復(fù)，還會(huì)給出代碼修改建議，比如把 SQL 注入問(wèn)題改成參數(shù)化查詢，每周能幫開發(fā)者省出超 6 小時(shí)。
多語(yǔ)言支持：Java、JavaScript、TypeScript、Go、Python、C# 這些語(yǔ)言及框架都能用。
掃描與分析：用 Corgea-Blast 引擎掃描代碼，報(bào)告里會(huì)有漏洞嚴(yán)重性（Critical/High/Medium/Low）、修復(fù)狀態(tài)這些內(nèi)容。
策略與阻斷規(guī)則：能用自然語(yǔ)言定義業(yè)務(wù)策略，比如醫(yī)療數(shù)據(jù)加密要求，還能設(shè)置阻斷規(guī)則，攔住不合規(guī)代碼合并。
集成與開發(fā)體驗(yàn)：能集成 GitHub、Azure DevOps（GitLab、Bitbucket 以后也會(huì)支持），代碼修復(fù)還能直接推到 IDE 里。

應(yīng)用場(chǎng)景

漏洞預(yù)防：代碼提交前就能檢測(cè)漏洞，比如 pygoat 項(xiàng)目里的認(rèn)證繞過(guò)漏洞，這樣就不會(huì)被攻擊者或者做滲透測(cè)試的人發(fā)現(xiàn)。
效率提升：能自動(dòng)生成修復(fù)代碼，像把硬編碼 SQL 查詢改成參數(shù)化查詢，省了不少手動(dòng)修復(fù)的功夫。
合規(guī)管理：通過(guò)自定義策略匹配企業(yè)架構(gòu)，比如私有網(wǎng)絡(luò)通信、ORM 使用規(guī)范，降低合規(guī)風(fēng)險(xiǎn)。

使用方法

安裝集成：支持 GitHub 應(yīng)用、Azure DevOps 插件和 CLI 工具（npm install -g corgea-cli）。
掃描配置：通過(guò) .corgearc 文件配置掃描規(guī)則，支持多種語(yǔ)言（如 JavaScript、TypeScript）和規(guī)則類別（如認(rèn)證）。
修復(fù)流程：自動(dòng)創(chuàng)建修復(fù) PR，開發(fā)者審核合并，跟蹤漏洞狀態(tài)。

優(yōu)勢(shì)劣勢(shì)

優(yōu)勢(shì)：

漏洞檢出率提升 74%。
誤報(bào)率低，低于 5%（行業(yè)平均 30%）。
支持多種語(yǔ)言（Java、JS、Go、Python 等）。
以開發(fā)者為中心的設(shè)計(jì)理念。

劣勢(shì)：

暫不支持移動(dòng)端語(yǔ)言（Kotlin/Swift）。
企業(yè)版起步價(jià)較高。
私有化部署僅限企業(yè)版。

價(jià)格方案

免費(fèi)版：2 個(gè)倉(cāng)庫(kù)，每月 10 次 PR 掃描，10 次自動(dòng)修復(fù)。
起步版（$14）：5 個(gè)倉(cāng)庫(kù)，每月 30 次 PR 掃描，50 次自動(dòng)修復(fù)。
成長(zhǎng)版（$29）：10 個(gè)倉(cāng)庫(kù)，每月 150 次 PR 掃描，無(wú)限自動(dòng)修復(fù)。
規(guī)模版（$49）：倉(cāng)庫(kù)數(shù)量不限，PR 掃描次數(shù)不限，自動(dòng)修復(fù)次數(shù)不限，支持惡意代碼掃描和 SLA 管理。
企業(yè)版：倉(cāng)庫(kù)數(shù)量不限，PR 掃描次數(shù)不限，自動(dòng)修復(fù)次數(shù)不限，支持惡意代碼掃描、SLA 管理和私有 ai 模型。