DeepSource

DeepSource 是一个全面的、以开发人员为中心的 DevSecOps 平台，旨在帮助团队高效地交付高质量和安全的代码。它无缝集成到开发工作流程中，在单一的统一解决方案中提供静态分析、安全测试和依赖管理。DeepSource 受到超过6000家公司（从初创公司到财富500强企业）的信赖，作为 SonarQube 等传统工具的现代替代品脱颖而出，提供卓越的开发人员体验和更准确的结果，误报率低于5%。

该平台直接在您的版本控制系统（如 GitHub、GitLab、Bitbucket 和 Azure DevOps）中运行，分析每一次提交和拉取请求。这种主动的方法使开发人员能够在问题合并到主分支之前发现并修复数千个安全漏洞和代码质量问题，从根本上显著改善代码健康状况和安全态势。

如何使用 DeepSource

开始使用 DeepSource 的过程设计得非常快速和简单，通常只需大约5分钟。该过程包括以下步骤：

1. 注册与连接： 在 DeepSource 网站上创建一个帐户，并将其连接到您的版本控制提供商（GitHub、GitLab、Bitbucket 或 Azure DevOps）。
2. 激活代码仓库： 选择您希望 DeepSource 分析的代码仓库。平台将自动检测您项目中使用的语言和框架。
3. 配置（可选）： DeepSource 开箱即用，无需任何 CI 配置。但是，您可以在代码仓库的根目录中创建一个 .deepsource.toml 文件进行高级自定义，例如启用特定的分析器、忽略某些问题或设置度量阈值。
4. 分析拉取请求： 激活后，DeepSource 会自动分析每个新的拉取请求。它会直接在拉取请求中发布评论，概述新问题，让开发人员无需离开工作流程即可查看和修复问题。
5. 使用仪表板： 为了更深入地了解，开发人员可以访问 DeepSource 仪表板，查看所有现有问题的综合报告，跟踪代码质量和安全指标随时间的变化，并管理项目设置。
6. 利用 Autofix™： 对于许多常见问题，DeepSource 的 AI 驱动的 Autofix™ 功能可以生成修复建议，您只需单击一下即可应用，并自动创建一个新的提交。

DeepSource 的核心功能

• SAST（静态应用安全测试）： 识别您源代码中的安全漏洞，涵盖 OWASP® Top 10 和 CWE/SANS Top 25 等标准。
• SCA（软件成分分析）： 扫描您的第三方依赖项，查找已知的漏洞和许可证合规性问题。
• 代码质量分析： 检测多种编程语言中的数千种代码异味、错误风险、反模式和性能问题。
• IaC（基础设施即代码）安全： 扫描配置文件（如 Terraform）中的安全配置错误。
• Autofix™ AI： 一项由 AI 驱动的功能，可为许多检测到的问题自动建议修复方案，从而显著加快修复速度。
• 代码覆盖率： 跟踪和报告您代码的测试覆盖率，确保新的更改得到充分测试。
• 无缝 VCS 集成： 与 GitHub、GitLab、Bitbucket 和 Azure DevOps 的原生集成，直接在拉取请求中提供分析，无需复杂的 CI 设置。
• 质量与安全门禁： 允许团队定义和强制执行特定标准，阻止不符合质量或安全标准的拉取请求。
• 详细报告： 生成可共享的报告，包括 OWASP® Top 10 报告，为团队成员和利益相关者提供洞察。

DeepSource 的使用案例

DeepSource 在软件开发的各种场景中都非常有用：

• 自动化代码审查： 通过自动捕捉大量问题来增强手动代码审查，使开发人员能够专注于逻辑和架构。
• 持续安全： 通过将安全扫描（SAST 和 SCA）直接集成到开发流程中，实施“左移”安全方法，及早发现漏洞。
• 维护代码健康： 通过持续监控代码质量并提供可操作的见解，帮助团队管理和减少技术债务。
• 新开发人员入职： 作为新团队成员的指南，帮助他们从第一次提交开始就遵守团队的编码标准和最佳实践。
• 合规与审计： 生成可用于安全审计和证明符合行业标准的报告（例如 OWASP Top 10）。

DeepSource 的优势特点

与传统的代码分析工具相比，DeepSource 具有几个关键优势：

• 开发人员优先的体验： 该工具专为开发人员打造，具有现代化的用户界面和流畅集成的非侵入式工作流程。
• 高准确性： 拥有极低的误报率（低于5%），确保开发人员可以信任其提出的问题。
• 统一平台： 将 SAST、SCA 和代码质量分析整合到一个工具中，无需管理和支付多个分散的解决方案。
• AI 驱动的效率： Autofix™ 和智能问题检测等功能加速了开发过程。
• 透明的定价： 提供清晰的、按席位计费的定价模式，比 SonarQube 等竞争对手的按代码行数计费更具可预测性，通常也更具成本效益。
• 无 CI 开销： 核心分析无需专门的 CI 构建时间即可运行，使其实现起来更快、更容易。

定价和计划

DeepSource 提供透明的、按席位计费的定价结构，分为几个等级：

• 免费计划： 0美元/席位/月。适合个人和小型团队。包括无限的公共仓库、1个私有仓库、最多3名团队成员以及有限的分析/Autofix™ 运行次数。
• 入门计划： 8美元/席位/月。专为成长中的团队设计。包括无限的公共和私有仓库、无限的分析运行次数以及有限的 Autofix™ 和 Transformers 使用。
• 商业计划： 24美元/席位/月。适用于成熟的团队和企业。包括所有入门计划的功能，外加无限的 Autofix™ 和 Transformer 使用、monorepo 支持、审计日志和优先支持。
• 企业计划： 定制价格。适用于有高级需求的大型组织。包括所有商业计划的功能，外加自托管部署（包括气隙部署）、单点登录（SSO）、带 SLA 的专属支持等选项。

年度订阅可享受20%的折扣。