一、项目背景及目标

代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析，旨在发现错误，安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。随着敏捷开发模式流行、devops思想不断落地推广，软件版本的迭代速度不断加快；人工进行代码审计需要对代码的规范、质量、安全以及代码实现逻辑等多方面进行核查，代码审计的时效以及代码审计的质量难以达到预期效果，存在代码带病上线的情况，给系统运行带来较大风险。

软件开发人员迫切需要可以实现自动审计代码的质量、规范、安全等方面问题的工具；在人工进行代码审计时，只关注代码的业务实现逻辑，提高代码审计效率，提升代码审计效果。

此外，若将代码审计的数据进行分析管理，建立数字化管理体系，可以有效的对开发人员、开发团队的代码能力进行客观准确的评价，并对代码评审发现的共性问题，进行针对性的整改、培训，可有效的提高代码编写能力，减少代码问题发生率，提升开发效率。另外，将代码审计与Devops平台进行整合管控，实现对代码审计问题的强制修复，避免代码带病运行，降低系统运行风险，保证系统稳定运行。

二、创新点

灵猫自动化源代码审计平台通过对Sonarqube代码审计工具进行定制开发及封装、整合白盒源代码审计工具，通过嵌入devops平台，实现自动化的代码质量、代码规则、代码安全的自动化、强管控的代码审计平台；另外通过对代码审计的问题进行提取分析，建立源代码质量管理体系，加强源代码缺陷管理的线上化、自动化、数字化管理能力。

三、技术实现特点

1、Sonarqube工具分析

SonarQube是一个开源平台，用于管理源代码的质量。Sonar 不只是一个质量数据报告工具，更是代码质量管理平台。支持的语言包括：Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。主要特点：

支持自定义规则

丰富的API接口

开源项目可以定制化开发

代码扫描结果连续性好

插件丰富，支持svn、git、Jenkins

支持自动识别代码提交时间

通过对sonarqube开源工具进行二次开发，实现对代码统计的定制化统计，满足业务需求。

2、白盒源代码审计工具

白盒源代码审计工具是一套静态应用程序安全测试系统，采用源代码静态分析技术，在不改变企业现有开发测试流程的前提下，与软件版本管理、持续集成、缺陷跟踪等系统进行集成，将源代码安全缺陷检测和源代码安全合规检测融入到企业开发测试流程中，帮助企业以小代价建立代码安全保障体系并落地实施，构筑信息系统的“内建安全”。另外，提供丰富的接口，支持各种语言调用。

3、代码质量管理

通过灵猫自动化源代码审计平台的应用，实现代码审计的自动化、线上化、数字化，实现对系统全量代码问题、增量代码问题的分类管理，从开发个人、整体团队、问题类型等进行多维度分析提取，不同角度的展现代码质量。通过增加代码质量“红黄蓝”评价体系，实现代码质量的高效管理。

四、项目过程管理

1、需求分析和概要设计阶段

此阶段时间段为2020年1月至2020年3月，其间主要完成了业务需求分析、业务功能和技术构架的高层设计。提交了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。

2、系统详细设计阶段

此阶段起始时间为2020年4月至2020年5月，其间主要完成了系统详细设计工作，提交了灵猫自动化源代码审计平台系统详细设计说明书等文档。

3、系统编码、测试和上线准备阶段

此阶段起始时间为2020年6月至2020年11月，其间完成了灵猫自动化源代码审计平台的代码开发、测试以及试点行上线准备工作，提交了灵猫自动化源代码审计平台测试报告、上线方案、系统设置等文档。

4、试点行上线阶段

此阶段起始时间为2020年12月，其间完成了一个试点产品线（移动产品线）的猫自动化源代码审计平台上线，并根据试点行上线运行的情况，为推广实施提出了优化需求。

此阶段起始时间为2021年1月至2021年2月，对除试点产品线外的其它9个产品线分批两批推广上线，具体如下：

*****批上线：2021年1月

第二批上线：2021年2月

五、运营情况

1、源代码质量、规范、安全问题检测

通过灵猫自动化源代码审计平台的建设，实现对源代码持续审计，发现代码问题、跟踪问题修复情况，降低源代码运行风险，保证系统稳定运行。

2、代码审计问题监测

灵猫自动化源代码审计平台实现动态感知代码审计的质量、规范、安全问题，支持问题状态的更新、代码问题的通知，多维度对代码审计问题进行数据统计分析和图表展示。

3、代码审计频率监测

通过灵猫自动化源代码审计平台的建设，对系统的源代码审计频率进行检测，检查系统代码审计执行情况，实现上线代码都经过审计。

六、项目成效

1、建立源代码质量管理体系，加强源代码缺陷管理的线上化、自动化、数据字管理能力

灵猫自动化源代码审计平台通过对sonarqube进行二次开发，同时增加自定义的代码规则，增加对白盒源代码审计系统的API接口调用，实现代码的质量、规范、安全的管理；增加对不同角度的代码质量考核指标，建立源代码质量管理体系，实现代码质量线上化、自动化、数字化管理。

2、提升代码审计效率

灵猫自动化源代码审计平台实现对源代码的增量扫描，使代码自动审计自动在3分钟内完成，同时人工代码审计无需关注代码质量、代码规范、代码安全问题，节省50%的代码审计时间。

3、提高代码审计问题修复率

灵猫自动化源代码审计平台通过将自动化代码审计与devops平台整合，实现代码审计与系统部署整合，同时增加代码审计问题“零容忍”，大大提高了代码审计问题修复率；避免代码带病运行，降低系统运行风险，保证系统稳定运行。

七、经验总结

通过灵猫自动化源代码审计平台的建设，实现代码审计自动化、高效化，对代码质量的数字化管理，建立源代码质量管理体系，提升软件开发能力，降低系统运行风险。