JetBrains 宣布为 Qodana 添加了污点分析。不过该功能目前仅在 Qodana for PHP 2023.1 中可用,该公司承诺很快为其他语言也提供支持。污点分析是评估不受信任的用户输入在整个 function 或 method 中的流动情况的过程,其核心目标是确定非预期的输入是否会以恶意的方式影响程序的执行。
Qodana 是 JetBrains 于 2021 年推出的代码质量监控平台,可以为用户提供错误和检查的集成和可视化。它还提供项目级别的检查,例如许可证审核和克隆检测,企业可以用它来可以评估拥现有或购买的代码。Qodana 将 JetBrains IDE 的 “智能” 功能引入 CI/CD 管道,允许在 IDE 和 CI 系统中使用相同的通用检查集。虽然 Qodana 面向 CI/CD,但它可以在本地使用,也可以使用 Docker 映像在其他地方运行。
根据介绍,Qodana 中的污点分析通过对程序的攻击面进行安全审计,保护程序免受外部用户的恶意输入。此功能包括扫描代码并突出显示污点和潜在漏洞的检查、使用户能够在 PhpStorm 中打开问题并快速处理,并提供可视化污点流的数据流图。
Qodana 产品和团队负责人 Kateryna Shlyakhovetska 称,“污点分析有助于消除可利用的攻击面,因此它是降低软件风险的有效方法。我们 JetBrains 始终致力于改进我们的产品并尽可能提供最佳解决方案——向 Qodana 添加污点分析功能反映了我们满足客户不断增长的需求以改善其安全状况的愿望。”
JetBrains 方面表示,其最近还发布了 Qodana Cloud 的公共预览版,它在一个地方收集来自 Qodana linters 的数据,让开发者在他们的 CI 工具中包含静态分析,并提高速度。
更多详情和示例可查看官方博客。