Corgea 是一款 SAST安全檢測工具，能夠發現業務邏輯漏洞、代碼邏輯漏洞等安全問題，可以檢測到 SQL 注入、跨站腳本攻擊，漏報也很低，最高不到 5%，還自動修復 74% 的安全問題，每人每周能省出 6 個小時；Java、Python 等多語言都支持，還能給出代碼修復建議、策略管理、阻斷規則的功能。

功能模塊

• 漏洞檢測：能揪出業務邏輯漏洞，比如認證繞過；代碼邏輯漏洞，像 SQL 注入、跨站腳本攻擊 XSS、不安全反序列化；還有硬編碼憑證、敏感信息暴露這些問題。

• 優化：能篩掉不少誤報，大概能減少 30% 的工單，誤報率控制在 <5%。

• 自動修復：74% 的安全問題都能自動修復，還會給出代碼修改建議，比如把 SQL 注入問題改成參數化查詢，每周能幫開發者省出超 6 小時。

• 多語言支持：Java、JavaScript、TypeScript、Go、Python、C# 這些語言及框架都能用。

• 掃描與分析：用 Corgea-Blast 引擎掃描代碼，報告里會有漏洞嚴重性（Critical/High/Medium/Low）、修復狀態這些內容。

• 策略與阻斷規則：能用自然語言定義業務策略，比如醫療數據加密要求，還能設置阻斷規則，攔住不合規代碼合并。

• 集成與開發體驗：能集成 GitHub、Azure DevOps（GitLab、Bitbucket 以后也會支持），代碼修復還能直接推到 IDE 里。

應用場景

• 漏洞預防：代碼提交前就能檢測漏洞，比如 pygoat 項目里的認證繞過漏洞，這樣就不會被攻擊者或者做滲透測試的人發現。

• 效率提升：能自動生成修復代碼，像把硬編碼 SQL 查詢改成參數化查詢，省了不少手動修復的功夫。

• 合規管理：通過自定義策略匹配企業架構，比如私有網絡通信、ORM 使用規范，降低合規風險。

使用方法

1. 安裝集成：支持 GitHub 應用、Azure DevOps 插件和 CLI 工具（npm install -g corgea-cli）。

2. 掃描配置：通過 .corgearc 文件配置掃描規則，支持多種語言（如 JavaScript、TypeScript）和規則類別（如認證）。

3. 修復流程：自動創建修復 PR，開發者審核合并，跟蹤漏洞狀態。

優勢劣勢

優勢：

• 漏洞檢出率提升 74%。

• 誤報率低，低于 5%（行業平均 30%）。

• 支持多種語言（Java、JS、Go、Python 等）。

• 以開發者為中心的設計理念。

劣勢：

• 暫不支持移動端語言（Kotlin/Swift）。

• 企業版起步價較高。

• 私有化部署僅限企業版。

價格方案

• 免費版：2 個倉庫，每月 10 次 PR 掃描，10 次自動修復。

• 起步版（$14）：5 個倉庫，每月 30 次 PR 掃描，50 次自動修復。

• 成長版（$29）：10 個倉庫，每月 150 次 PR 掃描，無限自動修復。

• 規模版（$49）：倉庫數量不限，PR 掃描次數不限，自動修復次數不限，支持惡意代碼掃描和 SLA 管理。

• 企業版：倉庫數量不限，PR 掃描次數不限，自動修復次數不限，支持惡意代碼掃描、SLA 管理和私有 ai 模型。