代理安全问题是个很大的问题 想想你写的好好的代码，上线被人破了，刷了你好多钱 或者产生了好多脏数据。订正数据死个人

SonarQube 是一个开源的代码质量管理平台，提供了许多功能，包括：

1. 静态代码分析：扫描代码并检测潜在的 bug、漏洞和代码质量问题。
2. 代码质量评估：根据事先定义的规则和标准对代码质量进行评估和分级。
3. 代码复杂度分析：评估代码的复杂度，帮助开发人员编写更易于理解和维护的代码。
4. 代码覆盖率报告：跟踪代码的测试覆盖率，帮助开发人员了解测试的完整性。
5. 安全漏洞扫描：检测代码中的安全漏洞，并提供修复建议。
6. 代码规范检查：根据编码规范检查代码，确保代码风格的一致性。
7. 可视化报告：提供直观的图表和报告，帮助团队了解代码质量和改进方向。

通过这些功能，SonarQube 可以帮助团队提高代码质量、降低技术债务，并加速软件开发过程。

OSV-Scanner

Google 的 OSV-Scanner 是一个开源的漏洞扫描工具，主要用于检测开源软件中已知的安全漏洞。OSV-Scanner 的主要功能包括：

1. 自动化漏洞检测：OSV-Scanner 可以自动扫描开源软件项目的依赖项，检测其中是否存在已知的安全漏洞。
2. 定期更新漏洞库：OSV-Scanner 使用 Google 的开源漏洞数据库 OSV（Open Source Vulnerabilities）作为漏洞库，该数据库定期更新，确保可以及时发现最新的漏洞。
3. 集成到 CI/CD 流程：OSV-Scanner 可以集成到 CI/CD 流程中，例如 GitHub Actions、GitLab CI 等，实现自动化的漏洞扫描。
4. 易于配置：OSV-Scanner 提供了简单易用的配置选项，可以根据需求定制扫描规则和策略。
5. 提供详细报告：OSV-Scanner 会生成详细的扫描报告，包括发现的漏洞信息、建议的修复措施等，帮助开发团队及时处理安全问题。

总的来说，OSV-Scanner 是一个方便实用的工具，可以帮助开发团队及时发现并解决开源软件中的安全漏洞，提高软件的安全性和质量。

Codeql

GitHub 的 CodeQL 是一款强大的静态代码分析工具，具有以下功能：

1. 安全漏洞检测：CodeQL 可以帮助检测代码中的安全漏洞，包括常见的漏洞类型如注入攻击、跨站脚本攻击等。
2. 漏洞预防：CodeQL 可以帮助开发人员在编码阶段发现潜在的漏洞，并提供修复建议，有助于提高代码的安全性。
3. 代码质量分析：CodeQL 可以评估代码的质量，包括代码规范、性能优化、代码复杂度等方面，帮助开发人员改进代码质量。
4. 自定义查询：CodeQL 允许用户编写自定义查询来检测特定的代码问题，满足项目特定的需求。
5. 与 GitHub 集成：CodeQL 与 GitHub Actions 集成紧密，可以在 GitHub 上设置工作流程来自动运行静态代码分析，并将结果反馈给开发团队。

总的来说，CodeQL 是一个功能强大的工具，可以帮助开发团队提高代码质量、发现潜在的安全漏洞，并加速软件开发过程。

总的来说 漏洞 用 codeql 和 osv-scanner 代码质量扫描可以用 sonarqube