在Fitten Code中执行安全扫描,许多用户可能不知道默认设置是关闭的——需要手动启用才能生效。例如SQL注入、硬编码密钥、不安全的反序列化等常见漏洞,无需导出代码再借助外部工具,Fitten Code原生支持实时扫描,但前提是版本必须达到v2.7.0以上,并且需要登录企业或高级账户。启用后还能调整扫描深度、绑定行业规则,单文件按下Ctrl+Alt+S即可扫描,全项目递归扫描同样支持,结果按风险等级分组展示,直观清晰。

那么具体该如何操作呢?下面逐步详解。
确认插件版本与登录状态
打开VSCode,在左侧点击扩展图标,搜索“Fitten Code”,查看当前安装的版本。目前稳定版为v2.8.3(2026年5月发布),低于v2.7.0的版本完全不支持安全扫描。如果版本过低,请先卸载,然后前往官网下载最新离线包手动安装。
接着检查右下角Fitten Code的登录状态栏——必须显示“已登录”,且账户类型应为“企业认证用户”或“高级个人用户”。免费基础账户无法启用深度安全规则,无法正常使用此功能。
开启内置安全扫描开关
按下Ctrl+Shift+P打开命令面板,输入“Fitten: Open Security Settings”并回车。此时会弹出一个JSON配置窗口,找到"securityScan.enabled",将false改为true。
然后关注"securityScan.level"字段——根据项目敏感度进行选择:金融、医疗类项目设置为"deep",电商类设置为"standard",内部工具类设置为"light"即可。选择"deep"将启用数据流污点追踪,扫描时间增加约40%,但漏报率可降低62%,是否值得由您权衡。
绑定行业规则集(可选但推荐)
提供两种方法。第一种快速方式:在任意代码文件中右键 → “Fitten Code → Apply Industry Rule Set” → 弹窗中选择“金融级(PCI-DSS+加密强度)”或“医疗级(HIPAA+PHI掩码)”,确认即可。
第二种手动方式:访问https://rules.fittentech.com/,下载对应行业的rulepack.zip,解压后将文件拖入VSCode工作区根目录下的.fitten/rules/文件夹中,然后重启Fitten Code服务(右键状态栏图标 → “Restart Service”)。
注意:规则包必须放置在项目根目录的 .fitten/rules/ 下,放错路径后扫描时会静默跳过,不报错,导致绑定无效。
触发单文件安全扫描
首先打开需要检查的源文件,例如login_handler.py或UserService.java。然后按下快捷键Ctrl+Alt+S(Windows/Linux)或Cmd+Option+S(macOS)。状态栏会出现“Scanning for security issues…”的提示,大约3到8秒后右侧会弹出悬浮面板,列出多个高危漏洞(如CWE-89、CWE-79等),每条都附带位置行号和修复建议。
如果未弹出结果,请检查文件是否被settings.json中的"files.exclude"排除——被排除的文件不参与任何扫描,会导致扫描无效。
启动全项目递归扫描
在资源管理器中右键点击项目根文件夹,选择“Fitten Code: Scan Project for Security Issues”。在弹出的窗口中勾选“Include dependencies”(如需扫描node_modules或lib目录则需勾选),然后点击“Start Scan”。右下角状态栏会显示进度条,扫描完成后自动打开Fitten Security Report标签页,结果按风险等级(Critical/High/Medium)分组展示,每条包含漏洞ID、触发代码片段、OWASP分类以及修复指引链接。
扫描结果默认缓存72小时,在此期间再次运行全项目扫描时会复用缓存,仅增量检测新修改的文件,有效节省时间。
