内网仓库分析
本文档旨在指引如何分析内网代码库。
应用场景
代码库在企业内网环境下,但需要在 TCA SAAS 上执行代码分析。
三种方式
方式一:隐私分析模式(推荐)。
方式二:IP 白名单模式。
方式三:源码包分析模式。
注意
请确保符合内部安全策略和法律法规要求。
隐私分析模式(推荐)
TCA 是由 TCA 平台端 + TCA 客户端组成:
平台端主要用于相关配置,存储相关分析结果。
客户端承载代码分析任务,并在其所在的机器上执行分析。TCA 采用分布式客户端架构,可以灵活的将客户端部署到任意地域(需要能够访问 TCA 平台端),例如作为一次性临时节点、常驻节点使用。
因此,可以自行接入客户端节点,仅需要确保客户端节点能够访问 TCA 平台端,以及能够访问内网仓库托管平台即可。如下图:
配置方式
在平台接入代码库时,将代码库标记为内网仓库。
如代码库已登记,则可以进入代码库基础信息页,调整代码库为内网仓库。
提示
在接入代码库或启动分析时会跳过凭证校验。
需要已接入分析节点,且该节点能够访问内网代码库。
依旧需要登记凭证,因为启动分析时会将凭证下发到上述客户端节点上进行代码库拉取操作。
- 后续会考虑接入的节点已内置代码库凭证的场景,适配中...
注意
隐私分析模式,在 TCA 平台端无法查看问题代码片段(无法访问仓库且未收集任何代码)。
可使用 IDE 插件,直接在 IDE 内结合当地代码查看问题,参见插件配置。
IP 白名单模式
通过在企业内网仓库平台上配置 TCA SAAS 的出口 IP 白名单,使其能够访问代码库。
以下是 TCA SAAS 的出口 IP 清单:
183.47.124.220
120.232.20.34
源码包分析模式
将要分析的内网代码库脱敏并压缩成源码包,使用 TCA SAAS 的源码包分析功能,提供源码包下载地址(推荐),或上传源码包的形式,针对源码包展开代码分析。
注意
由于 TCA 不会存储代码信息,因此源码包分析发现的问题在平台上会以问题坐标信息形式展示(仅包含问题所在文件、问题所在行、问题描述信息等)。
可使用 IDE 插件,直接在 IDE 内查看问题,参见插件配置。
源码包分析属于单次分析模式,不会持续跟踪问题,每次分析都是全量数据结果。