综合介绍

Corgea 是一款由人工智能驱动的开发者平台，主要功能是自动发现、分类和修复代码中的安全漏洞和技术债。 它就像团队里的一名AI安全工程师，通过与现有的开发流程（如GitHub）无缝集成，帮助开发团队在不拖慢开发速度的情况下，快速提升代码质量和安全性。 Corgea能够识别出传统工具难以发现的复杂问题，例如业务逻辑漏洞和认证缺陷，并且能将误报率控制在很低的水平。 该平台不仅能发现问题，还能自动生成修复方案，以拉取请求（Pull Request）的形式提供给开发者审查，极大地节省了修复漏洞所需的时间和精力。

功能列表

• AI驱动的漏洞扫描: 使用大型语言模型（LLM）和静态代码分析技术，可以发现复杂的安全漏洞，如业务逻辑缺陷、API漏洞和身份验证问题。
• 自动化代码修复: 在发现漏洞后，能自动生成高质量的代码修复补丁，并以拉取请求（Pull Request）的形式提交，供开发人员审查和合并。
• 低误报率: 通过AI进行智能分类，能有效过滤掉90%以上的误报和低优先级警报，让开发团队可以专注于真正有风险的问题。
• 无缝集成开发流程: 可与GitHub、Azure DevOps等平台紧密集成，扫描每一个拉取请求，将安全检查嵌入到开发者的日常工作中，无需切换工具。
• 支持多种语言和框架: 全面覆盖超过30种编程语言和操作系统生态，包括Python, JavaScript, Ruby, Go, Java等。
• 自然语言定义策略: 允许团队使用自然语言来定义独特的业务安全规则，让AI能够更精准地检测和修复与特定业务场景相关的漏洞。
• 整合现有SAST工具: 可以连接到团队已在使用的Snyk、Semgrep等静态应用安全测试（SAST）工具，接收它们的扫描报告并自动生成修复方案。
• 命令行工具（CLI）: 提供功能丰富的命令行工具，方便开发者在本地终端进行代码扫描、管理问题和应用修复方案。

使用帮助

Corgea 旨在简化代码安全流程，让开发者可以轻松上手。以下是详细的使用流程，主要以最常见的GitHub集成为例。

第一步：注册并安装Corgea的GitHub应用

1. 访问官网注册: 打开 Corgea 网站 https://www.corgea.app/，可以使用邮箱或者直接通过GitHub账户进行注册和登录。
2. 安装GitHub App: 登录后，进入“集成”（Integrations）页面。找到GitHub选项并点击“安装”（Install）。 你将被引导至GitHub授权页面。
3. 授权仓库访问: 在GitHub页面，选择你希望Corgea扫描的组织和代码仓库。你可以选择授权访问所有仓库，或者只选择特定的几个。完成授权后，Corgea就和你的GitHub账户连接起来了。

第二步：自动扫描与发现漏洞

1. 自动扫描拉取请求（Pull Request）: 安装并授权后，Corgea会开始自动工作。每当你的团队在已授权的仓库中创建新的拉取请求时，Corgea会自动对其进行扫描，以检测潜在的安全漏洞。
2. 全面扫描现有仓库: 你也可以在Corgea的仪表盘中选择一个项目，触发对整个代码库的全面扫描。这有助于发现项目中已存在的历史安全问题。
3. 上传扫描报告（可选）: 如果你的团队已经在使用其他的SAST工具（如Snyk, Semgrep, Checkmarx），你可以将这些工具生成的漏洞报告上传到Corgea。Corgea会读取这些报告，并为其中的漏洞生成修复方案。

第三步：审查AI生成的修复方案

1. 查看漏洞列表: 扫描完成后，你可以在Corgea的“问题”（Issues）页面看到所有发现的漏洞列表。这些漏洞会按严重性（高、中、低）进行分类。
2. 理解漏洞和修复方案: 点击任一漏洞，你将看到详细信息，包括：
   • 问题描述: 对该漏洞类型的详细解释（例如，什么是SQL注入）。
   • 受影响的代码: 精确指出存在漏洞的代码文件和行号。
   • AI生成的修复解释: Corgea会用自然语言解释它生成的修复方案是如何解决这个问题的。
   • 代码差异对比（Diff）: 以并排或单行模式清晰地展示修改前和修改后的代码，方便你快速审查。
3. 高质量的修复: Corgea的AI模型经过专门训练，旨在生成高质量且符合上下文逻辑的修复代码，而不仅仅是简单的语法修正。

第四步：一键创建修复拉取请求

1. 发出拉取请求: 在审查完AI生成的代码修复方案并确认无误后，你只需点击一个按钮，Corgea就会自动在你的GitHub仓库中创建一个新的拉取请求（Pull Request）。
2. 标准化开发流程: 这个拉取请求和团队成员手动创建的完全一样，包含了所有代码修改和详细的说明。 这意味着团队不需要改变现有的代码审查和合并流程。
3. 节省80%的修复工作: 从发现漏洞、研究解决方案、编写修复代码到创建拉取请求，整个过程由Corgea自动化完成，可以为工程师节省高达80%的工作量。

第五步：使用命令行工具（CLI）（可选）

对于喜欢在终端工作的开发者，Corgea也提供了功能强大的CLI工具。

1. 安装: 使用Python的包管理器pip可以轻松安装。

   pip install corgea-cli
   

   安装后，你需要使用从Corgea网站获取的API令牌进行配置。

2. 扫描代码: 你可以在本地项目目录中运行扫描命令。

   corgea scan
   

   你也可以只扫描尚未提交的修改，这在提交代码前进行快速检查非常有用。

3. 管理和应用修复: 通过命令行，你同样可以列出漏洞、查看修复建议，并将结果导出为JSON或HTML格式，方便集成到CI/CD流程中。

通过以上步骤，团队可以轻松地将Corgea集成到日常开发中，将繁琐的代码安全工作自动化，从而更专注于新功能的开发。

应用场景

1. 中小型企业和初创团队对于没有专门安全工程师或预算有限的团队来说，Corgea提供了一种经济高效的方式来提升代码安全性。 它就像一个随叫随到的AI安全专家，自动完成漏洞检测和修复工作，让开发团队无需深厚的安全知识也能写出更安全的代码。
2. 希望加速开发流程的工程团队技术债和安全漏洞的修复通常会拖慢开发进度。 Corgea通过自动化大部分修复工作，将工程师从繁琐的调试和代码重构中解放出来，让他们能更专注于产品创新和功能迭代，从而加快产品上市时间。
3. 已建立安全流程并寻求优化的公司对于已经在使用SAST工具（如Snyk或Semgrep）的公司，Corgea可以作为增强工具发挥作用。 它可以接入现有工具的扫描结果，利用其强大的AI引擎过滤误报，并为真实存在的漏洞自动生成修复代码，极大地提高了安全团队和开发团队处理漏洞的效率。
4. 实施“左移”安全策略的组织“安全左移”的核心思想是在开发生命周期的早期就引入安全措施。 Corgea完美契合这一理念，它在开发者创建拉取请求时就进行实时扫描和修复，确保安全问题在进入生产环境之前就被发现和解决，显著降低后期修复的成本和风险。

QA

1. Corgea如何处理我的代码，安全性有保障吗？Corgea非常重视代码安全和数据隐私。它通过与GitHub等平台的官方应用集成进行工作，所有的操作都在安全的授权范围内进行。 对于需要数据存储在特定区域的企业，Corgea的云基础架构支持数据本地化，确保符合当地的数据保护法规。
2. Corgea支持哪些编程语言？Corgea支持超过30种主流的编程语言和框架，包括但不限于Java, Python, JavaScript, Go, Ruby, C#等，能够满足绝大多数开发团队的需求。
3. AI生成的代码修复质量可靠吗？Corgea的AI模型经过专门优化，旨在生成高质量、符合上下文且可读性强的代码修复方案。 不过，它生成的代码仍需要开发者进行最终审查和批准，以确保修复方案完全符合项目的具体逻辑和规范。这种“人机协作”的模式既提高了效率，又保证了代码质量。
4. Corgea的定价模式是怎样的？Corgea提供了灵活的定价方案以适应不同规模的团队。它包含一个免费套餐，允许个人用户和小型项目在有限的仓库和扫描次数下免费使用。 对于更专业的团队和企业，则提供按开发者数量和功能梯度收费的付费套餐，例如Starter、Growth和Scale计划，同时也为大型企业提供定制化的企业方案。