在数字化浪潮席卷全球的今天，代码已成为企业业务运转的核心引擎。然而，随着代码规模的爆炸式增长和开发模式的敏捷化转型，安全漏洞的滋生风险也随之攀升。SQL注入、跨站脚本（XSS）、缓冲区溢出等漏洞一旦被利用，不仅会导致数据泄露、系统瘫痪，更会给企业带来难以估量的经济损失和声誉危机。

介绍一款开源免费的代码扫描工具 - sourcefare，支持代码安全漏洞、编码缺陷和合规性问题扫描，支持代码重复率、复杂度、覆盖率扫描。

1、快速安装

支持免费私有化部署，一键安装零配置，支持Windows、Mac、Linux、Docker安装，下面以Ubuntu系统安装为例，其它环境安装方式见官网文档。

• 下载，Ubuntu安装包下载地址：sourcefare下载，或者执行如下命令在线下载安装包。

wget -O tiklab-sourcefare-1.1.1.deb https://install.tiklab.net/app/install/sourcefare/V1.1.1/tiklab-sourcefare-1.1.1.deb

• 安装，将安装包上传到服务器，使用如下命令安装，默认安装目录在/opt下。

dpkg -i tiklab-sourcefare-1.1.1.deb

• 启动，进入安装目录/opt/tiklab-sourcefare/bin目录下，执行./sourcefare start即可启动成功。

启动后，通过 http://ip:8900 访问，默认使用admin/123456登录。系统默认支持本地账号登录，支持企业微信、钉钉或 LDAP 等登录方式。​

​​sourcefare登录页 ​

成功登录显示sourcefare首页。

 sourcefare首页

2、代码扫描

sourcefare支持代码静态扫描与编译扫描两种扫描方式，两种代码扫描方式优势互补、短板互消，形成1+1>2的安全防护效果。其核心逻辑是：以静态分析实现“事前预防”，以编译扫描完成“事中验证”，构建全流程、全场景的代码安全扫描体系。

2.1 静态扫描

静态分析代码，不仅可以检测出语法错误、变量未定义、数组越界等基础问题，还能精准识别出SQL注入、XSS、敏感信息泄露等高危安全漏洞。

静态代码扫描

2.2 编译扫描

编译代码扫描，在代码编译阶段自动检测安全漏洞、编码错误和规范问题‌，从而提升软件安全性、可维护性和开发效率。

编译扫描

3、产品优势

3.1 多语言支持

支持Java、JavaScript、Go、Python、C++、C#等主流语言代码扫描。

3.2 多种扫描方式

• 支持静态代码扫描和编译代码扫描两种方式。
• 支持服务器扫描（Git方式、代码压缩包上传方式）和客户端扫描（提供给CICD触发代码扫描，例如Arbess）。
• 自定义扫描方案。

3.3 简洁易用

• 私有部署支持一键安装，安装后即刻可用，无需额外配置。
• 直观的界面设计，结构清晰，让用户可以快速找到所需的功能模块。

3.4 开源免费

免费开放源代码，支持社区协作和共享，推动项目不断发展和优化。

4、核心优势

sourcefare的“静态分析+编译扫描”双重武器，不仅解决了单一扫描模式的局限性，更为企业带来了多维度的实际价值，助力企业高效破解安全困局。

• 降低漏洞修复成本：通过静态分析在编码阶段提前发现并修复漏洞，避免了漏洞遗留至测试阶段或上线后，大幅降低了修复成本。
• 提升开发效率：传统的代码安全扫描需要开发人员在编码完成后单独进行，耗时耗力。而sourcefare的静态分析模块支持实时扫描、边写边改，大幅减少了开发人员在安全扫描和测试上的时间投入，让开发人员能够更专注于业务功能开发。
• 保障业务连续性：通过全流程、全场景的漏洞扫描，sourcefare能够提前发现并修复各类安全隐患，避免了因漏洞被利用导致的系统瘫痪、数据泄露等安全事件，保障了企业业务的稳定运行。
• 满足合规要求：sourcefare的双重扫描武器能够全面覆盖合规要求中的漏洞检测要点，生成符合合规标准的扫描报告，帮助企业顺利通过合规审核。

5、产品预览

 代码扫描概况

扫描日志

 扫描问题描述

 重复率报告

 问题分布

统计