《阿里云代码安全白皮书》5个维度应对3类代码安全问题_云效devops 代码安全

摘要：在互联网快速发展的时代，代码是企业最核心的资产，代码安全也是企业资产安全最重要部分；为了保护企业代码安全，各公司使出的手段也是五花八门。阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度，达成「进不来」、「搞不坏」、「译不破」、「带不走」、「赖不掉」的效果。

企业的代码安全作为最重要的数字资产之一，企业和开发者在解决开源依赖包漏洞代码安全问题的同时，还需要考虑如何更全面地保障自己的代码数据安全。那么有哪些安全问题值得我们关注呢？

第一种，编码中自引入风险漏洞

例如：

● 源码编码安全策略问题，如弱加密函数、不安全SSL、Json注入、LDAP操纵、跨站点请求伪造等；
● 敏感信息如 Token、密码等明文泄露
● 引入不安全的二方、三方依赖包

第二种，代码数据丢失或泄漏

如员工恶意或手误删除代码数据、非核心技术人访问权限不明导致核心数据泄露等。

第三种，来自外部黑客攻击

如存在基础设施、组件漏洞导致的被攻击损失。

在如此危机四伏的环境下，云效代码管理平台 Codeup 如何保障企业代码资产安全？

阿里云云效联合阿里云的代码安全能力从基础安全、备份与恢复、安全与加密、审计与洞察、代码安全检测5个维度来应代码安全问题，保障编码环节代码安全。

基础设施安全确保“进不来”

云效系统完整部署在阿里云基础设施上，保证高度自动化的运维与安全。

• 系统部署在阿里云独立 VPC 中，应用层服务、数据服务均具备双机房容 灾能力，支持分钟级切换到备用机房并提供服务，整个网络环境受阿里云 统一管控；
• 服务器使用阿里云的 ECS，稳定可靠；
• 系统及中间件都采用集群化服务，具备弹性伸缩能力；
• 数据库及中间件均采用阿里云安全认证的云产品，包括 RDS、RocketMQ、 OSS 等；

云效应用安全

阿里云应用安全已形成一套规范的阿里云应用安全开发规范体系，全面覆盖云效 业务，云效的源码经过严格的安全审核，安全检查覆盖静态资源、前端应用、后 端应用、Op