腾讯云代码分析（TCA）开源版2022H1回顾

腾讯云代码分析（Tencent Cloud Code Analysis）于2021年12月31日开源，在2个月内收获1000 Star量，半年内累计发布27个大特性。

H1功能回顾

First Half Function Review

Q1 第一季度

First quarter ▼

实现任务分布式执行能力。实现工具在多台机器上并行执行；支持指定工具在指定的机器上运行；支持与本地启动的任务衔接，加速本地任务扫描；配套任务状态监控能力，及时重置初始化超时或机器掉线的任务。

支持在ARM64架构的国产化环境下运行。

新增管理后台界面。支持分析记录管理；支持节点管理；支持用户管理。

新增自研工具。检查含有CVE漏洞的组件，包含 Log4j 和 LogBack的检查。

Q2 第二季度

Second quarter ▼

上新合规检查规则包。此规则包在内部使用多年，现已在开源版上线。帮助简化开源合规流程，助力规避版权、安全、公关等问题。

增加健康探测接口。在启动前后探测各项内容是否正常启动。

新增部分PHP安全相关规则。

上线工具管理。支持接入自定义工具；支持为自定义工具创建规则；支持编辑自定义工具基础信息及运营状态。

支持部分子工具的License鉴权。

增加工具管理（管理员权限）。支持查看平台已支持的工具列表；支持调整自定义工具权限。

新增工具依赖管理。可自定义工具依赖项，拉取工具依赖时仅拉取指定项。

主流SCM平台Oauth授权。便捷高效接入各主流SCM平台（GitHub、腾讯工蜂、Gitee、Gitlab）的代码库。

上线Github Pages 文档站点。提供部署以及使用指南，更加清晰直观。

新增JavaScript、Python、Go、Java基础安全规则包。覆盖SQL注入、XSS、RCE、URL跳转、代码注入等基础安全问题。

依赖组件分析工具（测试版）。分析项目的依赖组件；分析依赖组件是否存在漏洞等问题。

支持API扫描工具（测试版）。助力Java隐私合规分析。

多语言非编译型静态代码分析工具（测试版）。支持代码规范检查，支持自定义规则。

分支过滤配置。适用于MR触发的合流测试场景，准确识别出MR源分支引入的新增问题。

禁用、删除功能。支持禁用[团队]、[项目]；支持删除[代码库]、[分支项目]。

Localscan支持工具并发。Localscan执行期间，并发执行分析工具，提高执行效率。

QuickScan模式。支持快速扫描临时代码文件或目录，无需与SCM代码仓库绑定。

管理后台新增。增加【项目管理】、【团队管理】。

上线 TCA Action插件。可以直接在GitHub工作流中快速体验代码分析。

H1事件回顾

First Half Event Review

2022年3月起，逐步打造腾讯云代码分析（TCA）开源版沟通生态圈。旨在让业内各从业爱好者可以轻松加入TCA开源版的建设，与个人或企业建立联系，互相交流经验，收集反馈。目前共维护105位活跃用户，范围覆盖80家组织/公司/院校。

2022年5月，受腾源会邀请参与[开源摘星

计划（WeOpen Star）]。

图片