Corgea无广告版下载
文章来源:智汇AI 发布时间:2025-06-23
Corgea是一款SAST安全检测工具,能够发现业务逻辑漏洞、代码逻辑漏洞等安全问题,可以检测到SQL注入、跨站脚本攻击,漏报也很低,最高不到5%,还自动修复74%的安全问题。
访问官网Corgea是一款SAST安全检测工具,能够发现业务逻辑漏洞、代码逻辑漏洞等安全问题,可以检测到SQL注入、跨站脚本攻击,漏报也很低,最高不到5%,还自动修复74%的安全问题,每人每周能省出6个小时;Java、Python等多语言都支持,还能给出代码修复建议、策略管理、阻断规则的功能。
功能模块
漏洞检测:能揪出业务逻辑漏洞,比如认证绕过;代码逻辑漏洞,像SQL注入、跨站脚本攻击XSS、不安全反序列化;还有硬编码凭证、敏感信息暴露这些问题。
优化:能筛掉不少误报,大概能减少30%的工单,误报率控制在<5%。
自动修复:74%的安全问题都能自动修复,还会给出代码修改建议,比如把SQL注入问题改成参数化查询,每周能帮开发者省出超6小时。
多语言支持:Java、JavaScript、TypeScript、Go、Python、C#这些语言及框架都能用。
扫描与分析:用Corgea-Blast引擎扫描代码,报告里会有漏洞严重性(Critical/High/Medium/Low)、修复状态这些内容。
策略与阻断规则:能用自然语言定义业务策略,比如医疗数据加密要求,还能设置阻断规则,拦住不合规代码合并。
集成与开发体验:能集成GitHub、AzureDevOps(GitLab、Bitbucket以后也会支持),代码修复还能直接推到IDE里。
应用场景
漏洞预防:代码提交前就能检测漏洞,比如pygoat项目里的认证绕过漏洞,这样就不会被攻击者或者做渗透测试的人发现。
效率提升:能自动生成修复代码,像把硬编码SQL查询改成参数化查询,省了不少手动修复的功夫。
合规管理:通过自定义策略匹配企业架构,比如私有网络通信、ORM使用规范,降低合规风险。
使用方法
安装集成:支持GitHub应用、AzureDevOps插件和CLI工具(npminstall-gcorgea-cli)。
扫描配置:通过.corgearc文件配置扫描规则,支持多种语言(如JavaScript、TypeScript)和规则类别(如认证)。
修复流程:自动创建修复PR,开发者审核合并,跟踪漏洞状态。
优势劣势
优势:
漏洞检出率提升74%。
误报率低,低于5%(行业平均30%)。
支持多种语言(Java、JS、Go、Python等)。
以开发者为中心的设计理念。
劣势:
暂不支持移动端语言(Kotlin/Swift)。
企业版起步价较高。
私有化部署仅限企业版。
价格方案
免费版:2个仓库,每月10次PR扫描,10次自动修复。
起步版($14):5个仓库,每月30次PR扫描,50次自动修复。
成长版($29):10个仓库,每月150次PR扫描,无限自动修复。
规模版($49):仓库数量不限,PR扫描次数不限,自动修复次数不限,支持恶意代码扫描和SLA管理。
企业版:仓库数量不限,PR扫描次数不限,自动修复次数不限,支持恶意代码扫描、SLA管理和私有ai模型。
相关推荐
