惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Register - Security
The Register - Security
云风的 BLOG
云风的 BLOG
U
Unit 42
F
Fortinet All Blogs
The GitHub Blog
The GitHub Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
D
Docker
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
S
Secure Thoughts
Hacker News: Ask HN
Hacker News: Ask HN
Vercel News
Vercel News
S
Security @ Cisco Blogs
GbyAI
GbyAI
Stack Overflow Blog
Stack Overflow Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
I
Intezer
MongoDB | Blog
MongoDB | Blog
AI
AI
MyScale Blog
MyScale Blog
Engineering at Meta
Engineering at Meta
Y
Y Combinator Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
P
Proofpoint News Feed
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
W
WeLiveSecurity
博客园 - 叶小钗
S
SegmentFault 最新的问题
N
News | PayPal Newsroom
WordPress大学
WordPress大学
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
D
DataBreaches.Net
小众软件
小众软件
Microsoft Azure Blog
Microsoft Azure Blog
Spread Privacy
Spread Privacy
H
Help Net Security
美团技术团队
博客园 - 司徒正美
T
Threat Research - Cisco Blogs
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
K
Kaspersky official blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
V
Vulnerabilities – Threatpost
TaoSecurity Blog
TaoSecurity Blog
N
Netflix TechBlog - Medium
L
Lohrmann on Cybersecurity
J
Java Code Geeks
量子位
Martin Fowler
Martin Fowler
博客园_首页

Gitee 官方博客

花几千块报志愿之前,先把这 7 个问题问清楚 Gitee 618 年中盛典开启:企业版新购最高送一年,PocketClaw 首次限时折扣 Gitee 成为首批「供应链安全号」成员单位,携手共建国产工业软件生态 七大赛道 TOP 10 公布!Gitee 年度开源项目评选结果正式揭晓 GLM-Image 上线模力方舟:首个国产芯片训练的多模态图像生成模型 「开源技术」正式纳入国家职教体系,Gitee 已为开源教育落地做好准备 Gitee 软件工厂:以密级管理为底座,构建符合国家保密资质的安全研发体系 Claude Code 的代码安全困境:插件机制齐全,却绕不开模型幻觉 北京中关村学院入驻 Gitee:打造 AI for Science 教学新范式 Gitee 移动软件工厂:突破网络限制的开发新模式 从依赖到可控:开源基础设施的国家命题 模力方舟 MCP Server 上线:在 Cursor 里玩 AI 生图+语音 【国内首家】 Gitee Repo 通过信通院《可信制品管理能力分级要求》先进级(最高级)评估 Gitee Repo 助力关键领域 DevSecOps落地:构建安全可控的制品管理体系 会翻译、懂产品、还能画头像:Gitee 智能三连上线! Gitee Pipe:关键领域 DevSecOps 的核心引擎 时代命题下的民营科技担当:从备份战略看 Gitee 的国家定位 没人喜欢写 README?Gitee:现在你不用写了 关键领域软件工厂的安全中枢:Gitee Scan 全面升级供应链检测能力 Gitee MCP 现已支持远程访问:无需本地部署,AI 助手即插即用 Gitee 企业版效能度量全面升级:构建可衡量、可洞察、可优化的研发体系 高标准+安全可控:关键领域研发为什么选择 Gitee Code? 河南农担 x Gitee:以数字化赋能「三农」信贷服务新范式 Gitee Test:驱动软件工厂DevSecOps 落地,保障关键领域安全稳定 马建仓 AI 助手全流程升级:更聪明的研发搭子,更专业的协作助手 从公益初心到商业化探索,开源中国助推中国开源生态之路 以知识管理赋能 DevSecOps,Gitee Wiki 加速关键领域软件自主演进 Gitee 企业版测试管理全面升级:流程更顺畅,交付更可靠 Gitee 企业版 AI 队友邀测开启:程序员的贴身助理来了 Gitee 构件治理实践:CBB 分布式管理助力软件工厂建设 重塑研发组织形态:从「中心软件工厂」到「移动软件工厂」 Gitee 企业版三大模块升级解读:项目、工作项、测试体系全面进化! Gitee 软件工厂的构件之道:CBB 与内源库(代码库\制品库)的本质差异 Gitee 软件工厂新范式:高安全、强协同、快交付,一体化研发全打通 当关键软件也被卡,我们的答案在哪里 Gitee 获北京市“科学技术进步奖”一等奖 加速项目管理效率,Gitee PPM 驱动软件工厂的智能化转型 打造智能化软件工厂:Gitee Insight 的 DevSecOps 度量实践 Gitee MCP 上线 Trae,AI 助手从代码生成走向仓库联动 开源中国荣获专精特新“小巨人”:做关键行业的可信研发底座 用智能体重塑 DevOps:Gitee 如何打造全域研发引擎 Gitee Repo 联邦仓库能力展示及最佳实践 Gitee AI 队友公测启动!自主申请,从审代码到漏洞检测全都自动搞定 Gitee 企业版更新:工作项、安全管理与测试用例能力升级 GOTC 2025 回顾|打通数据到生产,AI 应用工程化加速落地 Gitee Team 如何支撑关键领域行业 DevSecOps 落地? 软件工厂驱动 DevSecOps:高效集成发布的演进实践 Gitee 正式发布企业版 MCP Server:让 AI 深度融入企业研发管理 马建仓 AI 助手再进化:懂场景,也懂老板,但更懂你 一次提交更新两个仓库,Get 更优雅的 GitHub/Gitee 仓库镜像同步 当开源的门缝变窄,真正需要我们警觉的是什么? Gitee构建智能研发闭环:从数据飞轮到多智能体协同 一套平台管理上千构件:Gitee DevSecOps 如何用 CBB 重塑军工研发范式? DeepSeek 与开源:肥沃土壤孕育 AI 硕果 开源中国入选「2025年度中国软件高质量发展百强企业」 Gitee Go Release 插件上线:自动发版、上传构建产物一步到位 【重磅升级】制品库安全知识库自动更新与分析,制品安全防护「快人一步」 Gitee AI 队友新升级:PR 审查更智能,安全治理更灵活,个人用户也能用! Gitee 产品更新:Web 端提交、工作项与知识库体验提升 开源中国参加2025敏捷生态大会:智能化软件工厂构筑工业研发新范式 Gitee x AGIROS:与中科院软件所共建国产具身智能基础设施 开源中国董事长马越出席香港开源论坛:开源基础设施服务香港智能转型 沐曦股份选择 Gitee 企业版,打造国产 GPU 开源生态阵地 国产IronBank——源盾可信中心仓 开源中国入选「2025年度中国信创软件高质量发展百强企业」 破解安全研发三大难题:Gitee 软件工厂助力高标准合规落地 Jira 停售一年后,国产研发管理平台谁能真正站出来? 从断网交付到敏捷协同:Gitee 移动软件工厂的增量落地全路径 Gitee 企业版更新:优化测试管理流程,闭环能力再提升 Gitee DevOps 全面支持信创,驱动企业数字化安全与效能跃升 武汉人工智能研究院 x Gitee:跨模态智能研发的革新之路 Gitee DevSecOps:打造智能化军工软件工厂,破解版本管理难题 智能化 Issue 管理:基于 Coze + Gitee API 的自动化实践 Gitee 发布官方 MCP Server :让 AI 助手直连你的代码仓库 Gitee MCP Server:让 AI 助手接管繁琐事务,助力 Gitee 专业版研发提效 开源中国完成数亿元 C 轮融资:Gitee 加速智能化研发效能革新 启航 AI 新航道!Gitee 双十一与你共享智能新未来 《中国DevOps现状调查报告(2023)》发布,Gitee 领跑国产平台 研运一体化之下,Gitee 如何精准赋能银行实施大规模敏捷 对数字「祛魅」,中大型规模企业如何进行有效的研发效能度量? 从混乱到卓越,Gitee Code 如何治好 IT 部门的精神内耗 科技赋能,Gitee 助力国家海关总署实现重大业务改革 科大讯飞选择Gitee旗舰版,完成研发协作平台国产化替代 用脑图做测试用例,高效到家了! 信创驶入快车道,中国赛宝实验室选择 Gitee 搭建高效研发协作平台 金融人怎么写出安全可靠的代码?知名证券企业这样做 16家单位、2万名研发,金融科技领头羊如何集中统一代码管理? 《Gitee 专业版白皮书》重磅发布,助力企业实现高效、快捷交付 Gitee x 未来物联:高效能产研团队是怎样炼成的? 《2022 中国开源开发者报告》正式发布! 点击查看2022年你与Gitee的记忆 我们让 ChatGPT 写了一篇开源项目推荐 Gitee 自动化全新上线,让提效融入每处细节 Gitee Scan 四大升级,助力企业完美实现质量左移 Gitee携手内燃机龙头企业,为数字化研发注入新势能 【永久有效】初创企业限时特惠,999 即可购买 Gitee 标准版 Gitee与浪潮集团达成合作 加速国内DevOps生态建设 Gitee助力宁波银行DevOps三级认证,加速数字化转型 海通证券携手Gitee,以科技赋能金融行业研发转型 产品研发交给外包,怎么管理才能做到心里有底?
Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全
Gitee · 2026-01-23 · via Gitee 官方博客

随着全球网络攻击手段的日益复杂,尤其是勒索软件与供应链攻击的加剧,漏洞数量与高危占比持续上升。

分析显示,绝大多数安全风险源于开发阶段的代码疏忽或组件缺陷。攻击者正利用软件供应链的脆弱性扩大攻击半径,仅依靠上线后的补救或边界防护,已难以应对现代威胁。

对越来越多追求敏捷开发、自主可控的企业而言,如何在保障研发效率的同时,将安全能力前置、嵌入、标准化,已成为安全治理体系演进的关键方向。Gitee CodePecker正是在这样的背景下推出,聚焦 DevSecOps 的工程化落地,从研发源头提升软件产品的整体可信度。

Gitee CodePecker 官网:

https://gitee.com/code-pecker

路径选择:SDL 还是 DevSecOps?

当前,企业在构建安全开发体系时,主要面临三种路径选择:SDL 模式、DevSecOps 以及混合模式

SDL 模式源自微软,强调在软件开发的各个里程碑节点设置安全门禁,适合对合规性要求极高的大型瀑布式开发项目;

Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全-Gitee 官方博客
微软 SDL 流程框架图

DevSecOps由 Gartner 研究公司分析师 David Cearley 提出,核心定义是将安全性作为开发和运维过程中的责任共担,通过自动化工具将安全无缝集成到 CI/CD 中;

Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全-Gitee 官方博客
Gartner DevSecOps 流程框架图

另外还有兼顾 SDL 与 DevSecOps 的混合模式,依据企业自身的研发架构,汲取 SDL 的流程规范与 DevSecOps 的自动化优势,制定定制化标准。

作为国内领先的研发效能管理平台,Gitee 在服务大量企业级研发团队的过程中,观察到 DevSecOps 的需求正从「可选理念」变为「必要能力」,对工具的精度、集成能力、误报率与本地部署支持提出更高要求。

Gitee CodePecker 的设计初衷正是响应这类趋势,从「左移式安全」入手,构建适配国产研发体系的安全能力基座。

SDL 与 DevSecOps 的核心差异

SDL 通过设立严格的安全检查点(Gate)来确保质量,更侧重于流程合规与专家评审。它往往偏向瀑布流或长周期项目,要求开发团队在特定阶段停下来进行威胁建模或安全审查

而 DevSecOps 打破了安全与 DevOps 之间的壁垒,更侧重于自动化工具链支撑与持续反馈。将安全能力无缝嵌入研发的每个阶段,强调「人人为安全负责」,将安全扫描透明地嵌入流水线,避免阻断开发速度

相比于流程末端设卡的传统模式,DevSecOps 的「安全左移」思路将漏洞检测与责任闭环前移至开发环节,确保问题尽早暴露、及时阻断。研究表明,在开发阶段修复漏洞的成本仅为上线后的数十分之一,因此左移不仅是提升安全性的手段,更是优化交付效率与控制风险成本的关键路径。

Gitee CodePecker 的能力体系也正是围绕这一理念设计,强调「零额外成本接入」「嵌入即生效」「发现即闭环」,使安全从流程外部的「审批动作」,真正转化为流程内部的「协作节点」

核心工具链:构筑主动安全防线

DevSecOps 的落地关键,在于将关键检测能力前置到研发阶段,自动化嵌入到开发日常流程中。Gitee CodePecker 提供的SCA(软件成分分析)「析微」 与 SAST(静态应用安全测试)「补阙」,正是这套「安全左移」体系中的双引擎。

Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全-Gitee 官方博客

Gitee CodePecker 官网:

https://gitee.com/code-pecker

SCA 聚焦软件供应链的源头风险,以 SBOM 构建、漏洞与许可证风险管控为核心,守住第三方组件引入的安全关口。

SAST 针对代码的本源安全,通过「快速扫描 + 深度分析」的双模式能力,精准捕捉开发环节的编码漏洞。

两款工具从外部组件到内部代码形成互补,共同覆盖了 DevSecOps 研发前期的关键安全场景。

「析微」:守住供应链的入口

SCA(Software Composition Analysis)是 DevSecOps 中应对供应链攻击的关键一环。Gitee CodePecker 的「析微」模块支持对源码、二进制文件、镜像等构建产物进行自动分析,生成精准的 SBOM,并联动开源漏洞库、License 风险库完成检测。

相比传统 SCA 工具,「析微」具备更强的实用性和适配力:

  • 支持源码与二进制混合扫描,适配 APK、ECU、IoT 固件、Docker 镜像等非源码场景;
  • 漏洞可达性分析可识别实际调用链,降低误报;
  • 高危构建自动阻断,可与 Gitee 流水线、Jenkins 等构建系统集成;
  • License 分类识别支持自动审计 GPL/AGPL/MPL 等主流协议,满足合规要求;
  • 实测识别精度达 98.7%,适用于金融、汽车、信创等强监管场景。

「补阙」:深度净化源代码

SAST(Static Application Security Testing)是保障代码本体安全的「第一道锁」。CodePecker 的「补阙」模块支持快速扫描与深度分析两种检测模式,覆盖从规则型风险到复杂逻辑漏洞的常见场景。

  • 快速扫描适用于硬编码凭证、敏感配置、函数调用等规则型风险,支持以秒级速度嵌入每一次 Commit;
  • 深度扫描通过构建抽象语法树(AST)与控制流图(CFG),进行污点传播分析,识别如 SQL 注入、XSS、命令执行等高危漏洞;
  • 误报抑制机制结合上下文语义与数据流约束,特定场景下准确率可达 95%;
  • 多语言支持覆盖 Java、C/C++、Python、PHP 等常见语言,适配主流研发体系;
  • 支持国产标准,内置 GB-38674 编码规范检测能力,满足信创项目对静态安全的审计要求;
  • 漏洞处理闭环,支持自动生成 Issue 并指派到责任人,支持修复建议推送与状态跟踪。

从检测到闭环,构建可信研发根基

DevSecOps 的真正价值,不止于提升安全能力,更在于将「安全」从流程的附属品转变为工程体系的内核。

Gitee CodePecker 不仅是两个检测工具的集合,更是一次面向 DevSecOps 的全链路能力构建:

  • 「析微」把控组件引入之初,识别并阻断潜在风险;
  • 「补阙」清除代码内部隐患,提升交付质量;
  • 全链路自动化集成与闭环联动,避免人为遗漏;
  • 支持私有化部署,兼容国产体系,适配敏感行业的信创要求。
Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全-Gitee 官方博客

从风险识别、开发拦截,到自动修复与责任回溯,Gitee 企业版正在帮助更多组织将安全能力真正「写进流程」,在源头构建可信研发基础设施。

扫描下方二维码或点击链接,了解 Gitee CodePecker 如何助力企业构建研发安全闭环,获取完整产品资料与接入方案:

https://gitee.com/code-pecker

Gitee CodePecker 支撑 DevSecOps 落地,双擎驱动全链路研发安全-Gitee 官方博客