CodeArts Check 代码检查服务用户声音反馈集锦（3）

作者： gentle_zhou

原文链接：https://bbs.huaweicloud.com/blogs/398291

CodeArts Check（原 CodeCheck），是自主研发的代码检查服务。建立在华为 30 年自动化源代码静态检查技术积累与企业级应用经验的沉淀之上，为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力，提供全面质量报告、便捷的问题闭环处理帮助企业有效管控代码质量，助力企业成功：感兴趣的小伙伴可以点击>>体验下服务。

本期 5 个用户声音：

11、Check 支持哪些编程标准？

12、CERT 是什么？

13、CWE 是什么？SANS 是什么？

14、OWASP TOP 10 是什么？

15、MISRA 是什么？

“聆听客户并采取行动来解决他们的问题是客户成功的第一步。这就是为什么客户之声（VoC，Voice of the Customer）是推动全公司为客户提供价值和实现客户满意的关键组成部分。包括旨在获取客户洞察，客户反馈闭环，确定产品改进优先级，进而让客户成功和满意。”

VOC 集锦系列

CodeArts Check代码检查服务用户声音反馈集锦（1）

CodeArts Check代码检查服务用户声音反馈集锦（2）

11、Check 支持哪些编程标准？

提供了华为各大产品线多年研发经验总结出来的编程规范，同时支持 CERT、CWE、OWASP TOP 10、SANS/CWE TOP 25、MISRA 5 大业界主流编程标准。

12、CERT 是什么？

CERT 是卡内基梅隆大学软件工程研究所的计算机应急响应小组，是美国国家信息基础设施保护中心（NIPC）的一部分，负责协调美国联邦政府对网络攻击和网络威胁的响应。

而 CERT 编码标准，是由美国宾州软件工程学院（SEI）开发的，适用于多种语言，其目的是通过避免对安全性问题更敏感的编码结构来加强您的代码。在 CERT 编码框架中，将优先级计算为三个因素的乘积，并分为以下级别：L1，L2 和 L3。

13、CWE 是什么？SANS 是什么？

CWE 是常见弱点枚举（Common Weakness Enumeration）的缩写，在该枚举中，列出了大量关于编程错误、软件设计错误和软件体系结构错误的缺陷类型，这些错误可能导致可被利用的漏洞。

SANS 则是美国信息安全协会（System Administration and Network Security），它与美国 MITRE 组织（面向美国政府提供系统工程、研究开发和信息技术支持）合作维护 CWE 网站。

SANS/CWE TOP 25 则是其中最危险的 25 个软件缺陷列表，可能导致广泛发生过、严重的软件漏洞，而这些漏洞通常很容易被发现和被利用。

14、OWASP TOP 10 是什么？

OWASP TOP 10 是一个由 OWASP（Open Web Application Security Project，开放式 Web 应用程序安全项目）发布的安全漏洞列表，其中列举了 10 种最常见的 Web 应用程序安全漏洞：注入、失效身份验证和会话管理、敏感信息泄露、XML 外部实体注入攻击（XXE）、存取控制中断、安全性错误配置、跨站脚本攻击（XSS）、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。

15、MISRA 是什么？

MISRA 是由汽车工业软件可靠性协会（MISRA）开发的编码标准，它是针对 C 和 C++广泛采用的编码标准。

MISRA 提供了一套全面的编码指南，重点是保护应用程序免受已知的安全违规和安全漏洞。该协会将指导方针分为“规则”或“指令”。规则包含编码需求的完整描述，通过这些规则可以确保代码的可读性、可维护性和可移植性。