Corgea

Corgea 是一款 SAST安全检测工具，能够发现业务逻辑漏洞、代码逻辑漏洞等安全问题，可以检测到 SQL 注入、跨站脚本攻击，漏报也很低，最高不到 5%，还自动修复 74% 的安全问题，每人每周能省出 6 个小时；Java、Python 等多语言都支持，还能给出代码修复建议、策略管理、阻断规则的功能。

功能模块

• 漏洞检测：能揪出业务逻辑漏洞，比如认证绕过；代码逻辑漏洞，像 SQL 注入、跨站脚本攻击 XSS、不安全反序列化；还有硬编码凭证、敏感信息暴露这些问题。

• 优化：能筛掉不少误报，大概能减少 30% 的工单，误报率控制在 <5%。

• 自动修复：74% 的安全问题都能自动修复，还会给出代码修改建议，比如把 SQL 注入问题改成参数化查询，每周能帮开发者省出超 6 小时。

• 多语言支持：Java、JavaScript、TypeScript、Go、Python、C# 这些语言及框架都能用。

• 扫描与分析：用 Corgea-Blast 引擎扫描代码，报告里会有漏洞严重性（Critical/High/Medium/Low）、修复状态这些内容。

• 策略与阻断规则：能用自然语言定义业务策略，比如医疗数据加密要求，还能设置阻断规则，拦住不合规代码合并。

• 集成与开发体验：能集成 GitHub、Azure DevOps（GitLab、Bitbucket 以后也会支持），代码修复还能直接推到 IDE 里。

应用场景

• 漏洞预防：代码提交前就能检测漏洞，比如 pygoat 项目里的认证绕过漏洞，这样就不会被攻击者或者做渗透测试的人发现。

• 效率提升：能自动生成修复代码，像把硬编码 SQL 查询改成参数化查询，省了不少手动修复的功夫。

• 合规管理：通过自定义策略匹配企业架构，比如私有网络通信、ORM 使用规范，降低合规风险。

使用方法

1. 安装集成：支持 GitHub 应用、Azure DevOps 插件和 CLI 工具（npm install -g corgea-cli）。

2. 扫描配置：通过 .corgearc 文件配置扫描规则，支持多种语言（如 JavaScript、TypeScript）和规则类别（如认证）。

3. 修复流程：自动创建修复 PR，开发者审核合并，跟踪漏洞状态。

优势劣势

优势：

• 漏洞检出率提升 74%。

• 误报率低，低于 5%（行业平均 30%）。

• 支持多种语言（Java、JS、Go、Python 等）。

• 以开发者为中心的设计理念。

劣势：

• 暂不支持移动端语言（Kotlin/Swift）。

• 企业版起步价较高。

• 私有化部署仅限企业版。

价格方案

• 免费版：2 个仓库，每月 10 次 PR 扫描，10 次自动修复。

• 起步版（$14）：5 个仓库，每月 30 次 PR 扫描，50 次自动修复。

• 成长版（$29）：10 个仓库，每月 150 次 PR 扫描，无限自动修复。

• 规模版（$49）：仓库数量不限，PR 扫描次数不限，自动修复次数不限，支持恶意代码扫描和 SLA 管理。

• 企业版：仓库数量不限，PR 扫描次数不限，自动修复次数不限，支持恶意代码扫描、SLA 管理和私有 ai 模型。