基于 TCA(腾讯云代码分析) MCP 服务的 CodeBuddy 技能插件,提供全面的代码安全扫描能力。
- 🔍 全面扫描:基于 TCA 代码分析引擎,支持多种安全漏洞和敏感信息检测
- 🛡️ 多维度分析:包括代码质量、安全漏洞、敏感信息泄露等多维度分析
- 📊 详细报告:提供完整的分析报告,包含问题严重程度、位置和修复建议
- ⚡ 增量扫描:支持增量扫描模式,提高扫描效率
- 🔗 MCP 集成:通过 MCP 协议与 TCA 服务无缝集成
tca-skills/ ├── SKILL.md # CodeBuddy 技能定义文件 ├── analyze.py # 本地扫描脚本(备用) ├── patterns.json # 本地敏感信息匹配规则(备用) ├── requirements.txt # 依赖文件 ├── .env # 测试用示例文件 ├── test-sensitive-data.py # 敏感信息测试文件(Python) └── test-config.yaml # 敏感信息测试文件(YAML)
项目包含两个用于安全扫描测试的文件,涵盖 12 大类敏感信息:
| 类别 | 包含内容 |
|---|---|
| 硬编码密码 | 数据库密码、管理员密码、服务密码 |
| API 密钥 | AWS、Google、Azure、阿里云、腾讯云 |
| 访问令牌 | GitHub、GitLab、NPM、Slack、Discord、JWT |
| 支付密钥 | Stripe、PayPal、微信支付、支付宝 |
| 数据库连接 | MySQL、PostgreSQL、MongoDB、Redis、SQL Server |
| SSH/SSL 密钥 | RSA 私钥、SSH 私钥、SSL 证书密钥 |
| IP 地址 | 内网 IP、生产服务器地址 |
| 邮件配置 | SMTP、SendGrid、Mailgun、Mailchimp |
| 第三方服务 | Twilio、Firebase、OpenAI、Anthropic |
| 加密密钥 | AES、HMAC、签名密钥 |
| OAuth 配置 | Google、Facebook、Twitter OAuth |
| 容器配置 | Docker Registry、Kubernetes Token |
⚠️ 注意:测试文件中的所有凭据都是模拟数据,仅用于安全扫描测试!
- 项目根目录需要有
tca-mcp.ini配置文件 - TCA MCP 服务器已正确配置并启用
安装此技能后,可以直接对话:
"使用 TCA Skills 扫描当前项目的安全问题" "用 TCA 分析这个代码库的敏感信息" "检查项目中是否有泄露的凭据" "获取 TCA 分析报告"
| 操作 | 说明 | MCP 工具 |
|---|---|---|
| 启动扫描 | 开始代码安全分析 | tca-mcp-server.start_scan |
| 查看任务状态 | 检查扫描任务进度 | tca-mcp-server.job_detail |
| 任务列表 | 查看所有扫描任务 | tca-mcp-server.job_list |
| 问题列表 | 获取发现的安全问题 | tca-mcp-server.tca_issue_list |
| 分析报告 | 获取完整报告链接 | tca-mcp-server.tca_issue_report |
| 级别 | 值 | 说明 |
|---|---|---|
| 高 | 2 | 严重安全漏洞,需立即修复 |
| 中 | 1 | 中等风险问题,建议尽快处理 |
| 低 | 0 | 低风险问题,可计划修复 |
| 状态 | 值 | 说明 |
|---|---|---|
| 等待中 | 0 | 任务已创建,等待执行 |
| 执行中 | 1 | 扫描正在进行 |
| 已关闭 | 2 | 任务已完成或取消 |
| 入库中 | 3 | 结果正在保存 |
| 初始化中 | 4 | 任务正在初始化 |
| 初始化完成 | 5 | 准备开始扫描 |
- 启动扫描:调用
start_scan启动 TCA 代码分析 - 等待完成:通过
job_detail或job_list检查任务状态 - 获取结果:调用
tca_issue_list获取发现的安全问题 - 查看报告:调用
tca_issue_report获取完整分析报告链接
如果 TCA 服务不可用,可以使用本地扫描脚本:
python3 analyze.py --file <文件路径>
本地扫描支持以下敏感信息类型:
| 类型 | 说明 |
|---|---|
| AWS_ACCESS_KEY_ID | AWS 访问密钥 |
| GITHUB_PAT | GitHub 个人访问令牌 |
| STRIPE_LIVE_SECRET_KEY | Stripe 生产环境密钥 |
| GOOGLE_API_KEY | Google API 密钥 |
| SLACK_WEBHOOK_URL | Slack Webhook 地址 |
| PASSWORD_LITERAL | 硬编码密码 |
- 不要提交敏感文件:将
.env等文件添加到.gitignore - 使用密钥管理服务:如 AWS Secrets Manager、HashiCorp Vault
- 定期轮换密钥:发现泄露后立即更换凭据
- 定期扫描:建议将 TCA 扫描集成到 CI/CD 流程中
- TCA(腾讯云代码分析)MCP 服务
- Python 3.x(本地备用脚本)
Apache-2.0
az
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
