更快地交付安全�、可靠的和一致的代碼
隨著團(tuán)隊(duì)開(kāi)發(fā)具有比以往任何時(shí)候都更多功能���、更短時(shí)間和更嚴(yán)格標(biāo)準(zhǔn)的代碼�����,發(fā)現(xiàn)錯(cuò)誤和修復(fù)安全缺陷變得越來(lái)越困難����。有了這種復(fù)雜性����,我們?nèi)绾卧跀?shù)據(jù)泄露和應(yīng)用程序崩潰轉(zhuǎn)嫁給客戶之前阻止它們?我們?nèi)绾卧诹鞒痰脑缙诎l(fā)現(xiàn)它們�,以便開(kāi)發(fā)人員可以花費(fèi)更多的時(shí)間為客戶創(chuàng)造真正的價(jià)值,而不是修復(fù)有缺陷的代碼�?
它從開(kāi)發(fā)人員的桌面開(kāi)始����。在這里����,代碼被編寫(xiě)、測(cè)試����、審查和重新編寫(xiě)。在這里發(fā)現(xiàn)問(wèn)題����,在構(gòu)建之前的最早可能點(diǎn),意味著稍后更少的測(cè)試����,對(duì)成本和進(jìn)度的下游影響更少。它繼續(xù)進(jìn)行持續(xù)集成(CI)�����,只有Klocwork支持流行的CI工具在簽入期間對(duì)增量代碼更改執(zhí)行分析�,以跟上快速發(fā)布交付周期。Klocwork將靜態(tài)代碼分析放在您需要的地方�,在開(kāi)發(fā)人員眼前識(shí)別關(guān)鍵的安全性���、可靠性和編碼標(biāo)準(zhǔn)問(wèn)題---在簽入之前、期間和之后�。
漏洞和安全漏洞最好在最接近引入位置的地方找到并解決�����,即在桌面上或通過(guò)持續(xù)集成構(gòu)建����。更快地找到它們并快速地修復(fù)它們,就意味著更快地提供更好的產(chǎn)品����。Klocwork在創(chuàng)建代碼的同時(shí)運(yùn)行,逐行檢查�,因此可以立即識(shí)別和解決問(wèn)題。在上下文解析中����,確保由正確的人進(jìn)行補(bǔ)救���。
安全形勢(shì)不斷變化����。確保您的代碼具有安全意識(shí),并符合Klocwork標(biāo)準(zhǔn)�����,在開(kāi)發(fā)人員桌面上或通過(guò)持續(xù)集成構(gòu)建結(jié)果出現(xiàn)安全漏洞和可靠性問(wèn)題�����。開(kāi)發(fā)人員可以在代碼合并到版本中之前識(shí)別并修復(fù)這些問(wèn)題�。
Klocwork會(huì)在您鍵入代碼時(shí)標(biāo)記安全弱點(diǎn)和代碼錯(cuò)誤。把它看作是C/C++���、Java或C源代碼的拼寫(xiě)檢查器����。使用回溯路徑調(diào)查問(wèn)題的深度����,該路徑標(biāo)識(shí)并描述代碼中導(dǎo)致特定問(wèn)題的每個(gè)語(yǔ)句。通過(guò)上下文相關(guān)幫助中的Klocwork最佳實(shí)踐鏈接獲取每個(gè)問(wèn)題或安全風(fēng)險(xiǎn)的詳細(xì)信息�����,以獲取有關(guān)特定軟件安全領(lǐng)域的其他信息。
Klocwork用于世界上許多最大��、最苛刻的軟件開(kāi)發(fā)環(huán)境��。
靜態(tài)代碼分析(SCA)一次又一次地證明了它在減少缺陷和安全漏洞方面的價(jià)值。但它也可能帶來(lái)混亂:首先確定要解決的問(wèn)題��。無(wú)論缺陷列表是否太大��,或者開(kāi)發(fā)人員對(duì)誤報(bào)持謹(jǐn)慎態(tài)度�,團(tuán)隊(duì)通常都很難在SCA的許多好處和它可能產(chǎn)生更多工作之間找到平衡。
有了Klocwork SmartRank�����,實(shí)現(xiàn)這種平衡是可能的���。SmartRank建議首先檢查和修復(fù)特定問(wèn)題���,通過(guò)減少花在跟蹤那些對(duì)發(fā)布的軟件最重要的問(wèn)題上的時(shí)間來(lái)加速生產(chǎn)力的提高。
打開(kāi)SmartRank后,最有可能是真正積極的問(wèn)題和最有可能在現(xiàn)場(chǎng)發(fā)生的問(wèn)題將首先進(jìn)行排序和優(yōu)先級(jí)審查�,為計(jì)劃工作提供一種可靠��、自動(dòng)化和可重復(fù)的方法���。開(kāi)發(fā)人員可以快速?zèng)Q定首先處理哪些缺陷��,因?yàn)榉治鼋Y(jié)果的排名是明確的——最強(qiáng)烈的建議實(shí)際上位于列表的頂部����。
Klocwork靜態(tài)分析引擎是一組復(fù)雜的高性能算法�,可以對(duì)應(yīng)用程序源代碼的表示進(jìn)行操作,以確定控制和數(shù)據(jù)路徑�,并確定安全性、質(zhì)量和標(biāo)準(zhǔn)遵從性問(wèn)題���。SCA引擎的許多組件提供了不同的因素�,用于計(jì)算檢測(cè)到的問(wèn)題是真正的問(wèn)題的排名���?���;谝粋€(gè)可定制的閾值,這個(gè)排名被轉(zhuǎn)換為用戶的SmartRank建議�,這表明應(yīng)該首先檢查和修復(fù)這些問(wèn)題。
Agile方法�、DevOps和持續(xù)集成(CI)的采用使軟件開(kāi)發(fā)的速度達(dá)到了前所未有的水平?����,F(xiàn)在���,Klocwork通過(guò)引入連續(xù)靜態(tài)代碼分析(CSCA)加快了速度�。
持續(xù)靜態(tài)代碼分析是一種綜合的安全性�、安全性、可靠性和性能檢查程序與持續(xù)集成工具的結(jié)合��,以在開(kāi)發(fā)團(tuán)隊(duì)中快速反饋增量檢入的運(yùn)行狀況���。這一點(diǎn)可以通過(guò)Klocwork分析引擎的獨(dú)特架構(gòu)實(shí)現(xiàn)�,其設(shè)計(jì)目的是最大限度地提高多個(gè)并發(fā)分析的可擴(kuò)展性和性能����。換句話說(shuō)����,如果您一天要交付許多版本�,那么只有Klocwork CSCA能夠處理代碼更改的頻率和復(fù)雜性���,從而在分析引擎不被混淆或減速的情況下為每個(gè)開(kāi)發(fā)人員提供準(zhǔn)確的結(jié)果�����。
Klocwork與流行的CI工具(如Jenkins和TeamCity)集成����,并支持任何使用腳本和命令行的系統(tǒng)�����。除了動(dòng)態(tài)分析���,這使得在開(kāi)發(fā)活動(dòng)的整個(gè)傳播過(guò)程中都能夠進(jìn)行強(qiáng)大的自動(dòng)化測(cè)試:在開(kāi)發(fā)人員編碼時(shí)�����,在桌面上�����,在簽入時(shí)進(jìn)行增量更新��,以及在集成過(guò)程中�����,在整個(gè)發(fā)布過(guò)程中進(jìn)行構(gòu)建�����。在任何時(shí)候���,開(kāi)發(fā)人員和測(cè)試人員都會(huì)得到快速��、有洞察力的分析���,以確定問(wèn)題并更快地解決問(wèn)題。
所有的檢查程序�,所有的時(shí)間,或者一個(gè)定制的設(shè)置應(yīng)用在你想要的時(shí)候��,Klocwork滿足你的團(tuán)隊(duì)在測(cè)試發(fā)生的地方。
世界越來(lái)越依賴軟件�。取決于它。開(kāi)發(fā)軟件的需求也在不斷增長(zhǎng)����。讓它更快、更好���、更安全。
更快�����?檢查���。更好��?檢查����。安全���?要了解和驗(yàn)證是不容易的�����。而且風(fēng)險(xiǎn)很大����。黑客不僅會(huì)損害你的產(chǎn)品、公司和品牌����,他們還可以通過(guò)調(diào)整汽車的制動(dòng)系統(tǒng)、干擾起搏器或更糟的情況來(lái)危及生命���。開(kāi)發(fā)團(tuán)隊(duì)擁有確保代碼測(cè)試和安全的功能和責(zé)任�。
使用Klocwork靜態(tài)代碼分析保護(hù)代碼�、產(chǎn)品、品牌和生計(jì)���。Klocwork可以從開(kāi)發(fā)人員桌面的便利性和持續(xù)集成(CI)系統(tǒng)的速度自動(dòng)檢測(cè)源代碼中的數(shù)百個(gè)潛在安全漏洞�。應(yīng)用一致的最佳實(shí)踐方法來(lái)識(shí)別��、修復(fù)和管理整個(gè)組織中的真正安全漏洞���。
大多數(shù)組織需要遵守多種編碼標(biāo)準(zhǔn)以確保軟件安全����。Klocwork包括內(nèi)置的檢查程序,以支持所有領(lǐng)先的標(biāo)準(zhǔn):
ü CWE
ü CERT
ü DISA STIG v3 and v4
ü CWE/SANS Top 25
ü OWASP
ü MISRA
Klocwork配有數(shù)百個(gè)檢查程序����。我們的靜態(tài)代碼分析引擎可以通過(guò)啟用或禁用單個(gè)檢查程序或完整檢查程序組來(lái)滿足軟件開(kāi)發(fā)環(huán)境和過(guò)程的特定需求,從而強(qiáng)制執(zhí)行符合每個(gè)標(biāo)準(zhǔn)的規(guī)則����。我們還與世界上一些最大的消費(fèi)者、軍事�、通信、電子��、移動(dòng)和其他公司合作創(chuàng)建了一個(gè)checker API��,使您的團(tuán)隊(duì)能夠快速輕松地創(chuàng)建定制的安全檢查程序���。
Klocwork旨在檢測(cè)這些弱點(diǎn):
-
緩沖區(qū)溢出
-
未驗(yàn)證的用戶輸入
-
注射
-
跨站點(diǎn)腳本
-
信息泄露
-
易受攻擊的編碼實(shí)踐
-
禁止API
-
內(nèi)存和資源泄漏
-
并發(fā)違規(guī)
-
無(wú)限循環(huán)
-
取消對(duì)空指針的引用
-
未初始化數(shù)據(jù)的使用
-
資源管理
-
內(nèi)存分配錯(cuò)誤
您需要回答有關(guān)整個(gè)代碼庫(kù)的安全性��、可靠性和可維護(hù)性的復(fù)雜問(wèn)題�����。使用Klocwork,您可以通過(guò)可定制的儀表盤(pán)獲得詳細(xì)信息�。按重要內(nèi)容組織代碼度量,包括團(tuán)隊(duì)�����、地理位置�����、組件和其他屬性����。
Klocwork質(zhì)量標(biāo)準(zhǔn)由我們內(nèi)部的靜態(tài)代碼分析專家創(chuàng)建,它提供了一種簡(jiǎn)單的方法來(lái)監(jiān)視�、管理和提高軟件項(xiàng)目的可靠性。
通過(guò)將Klocwork質(zhì)量標(biāo)準(zhǔn)應(yīng)用于新的或現(xiàn)有的項(xiàng)目����,軟件缺陷被劃分為諸如可疑代碼實(shí)踐、資源泄漏����、可維護(hù)性、性能等類別。內(nèi)置的質(zhì)量報(bào)告將向您顯示趨勢(shì)����、新問(wèn)題以及這些類別中問(wèn)題最多的代碼區(qū)域。這允許開(kāi)發(fā)人員和管理人員將精力集中在對(duì)提高軟件項(xiàng)目質(zhì)量最關(guān)鍵的類別上���。
Klocwork包含內(nèi)置的安全報(bào)告���,可以輕松地可視化最重要軟件項(xiàng)目中的安全狀態(tài)和漏洞趨勢(shì)。這些報(bào)告非常適合包括向管理層和其他利益相關(guān)者提交的項(xiàng)目狀態(tài)報(bào)告���。
Klocwork會(huì)自動(dòng)收集有關(guān)桌面上正在查找和修復(fù)的內(nèi)容的信息��,即使這些信息從未傳播到源流中����。在代碼簽入之前�����,您的團(tuán)隊(duì)將更好地了解減少bug的活動(dòng)��,從而生成一個(gè)自下而上的視圖�,了解bug遏制工作的工作情況。在迭代的早期識(shí)別代碼庫(kù)中風(fēng)險(xiǎn)最大的區(qū)域���。并按人員����、組����、地理位置、組件以及對(duì)組織重要的任何其他屬性查看這些信息�。
可視化和模塊化軟件項(xiàng)目����、層次結(jié)構(gòu)以及與Klocwork豐富的代碼體系結(jié)構(gòu)平臺(tái)的相互依賴性。通過(guò)我們的集成����,構(gòu)建分析數(shù)據(jù)直接加載到領(lǐng)先的第三方體系結(jié)構(gòu)工具中,以優(yōu)化整體軟件設(shè)計(jì)����、最大限度地提高代碼重用、進(jìn)行詳細(xì)的影響分析等等����。
Klocwork代碼評(píng)審將我們所有的安全性��、可靠性和編碼標(biāo)準(zhǔn)缺陷引入到一個(gè)協(xié)作解決問(wèn)題的環(huán)境中�,這樣您的團(tuán)隊(duì)就能更快地修復(fù)它們����。有了標(biāo)準(zhǔn)代碼審查工具的所有特性,例如智能差異和與源代碼管理系統(tǒng)的集成���,Klocwork已經(jīng)在您的審查游戲中處于領(lǐng)先地位���。添加了社交通知、線程討論和無(wú)限活動(dòng)墻���,開(kāi)發(fā)人員總是能夠及時(shí)獲得信息����,幫助解決最新的缺陷并創(chuàng)建更好的代碼�����。
對(duì)于任何類型的代碼或文本文件���,開(kāi)發(fā)人員只需單擊一次就可以開(kāi)始��、參與或跟蹤評(píng)論�。通過(guò)監(jiān)控相關(guān)項(xiàng)目�、創(chuàng)建感興趣的區(qū)域以及僅通知重要事項(xiàng),可以設(shè)計(jì)和定制評(píng)審空間��,以滿足個(gè)人需求����。通過(guò)將分析結(jié)果和問(wèn)題直接集成到審查空間中,開(kāi)發(fā)人員可以實(shí)時(shí)協(xié)作跟蹤����、評(píng)論和修復(fù)問(wèn)題,而無(wú)需離開(kāi)桌面�。一旦修復(fù),可以很容易地通過(guò)對(duì)幾個(gè)SCM的支持簽入更改��,包括Git, Perforce, Subversion, ClearCase和CVS。
Klocwork將社會(huì)協(xié)作帶到解決編碼問(wèn)題上����,將技能集結(jié)合起來(lái),并跨團(tuán)隊(duì)共享這一學(xué)習(xí)成果���。下面是Klocwork加速代碼審查的幾種方法:
-
每個(gè)開(kāi)發(fā)人員都有實(shí)時(shí)通知和可定制的活動(dòng)墻��,可以即時(shí)查看何時(shí)何地提供幫助�。
-
個(gè)人積壓����、待辦事項(xiàng)列表和豐富的搜索語(yǔ)法,允許任何人快速確定其缺陷減少活動(dòng)的當(dāng)前狀態(tài)�����。
-
可以將相關(guān)行動(dòng)分配給作者����、其他審閱者,甚至是無(wú)關(guān)方���,以便更好地集中工作��。
-
高度可定制的可視報(bào)告提供有關(guān)個(gè)人和團(tuán)隊(duì)的數(shù)據(jù)��,確定提供真正價(jià)值的領(lǐng)域或需要跟進(jìn)的領(lǐng)域
是什么讓Klocwork與眾不同的�����?
與其他靜態(tài)代碼分析工具不同�����,Klocwork無(wú)縫集成到桌面IDE��、構(gòu)建系統(tǒng)����、持續(xù)集成工具和任何團(tuán)隊(duì)的自然工作流中����。反映了代碼在任何階段的開(kāi)發(fā)方式,Klocwork可以防止缺陷�����,并在編寫(xiě)代碼時(shí)即時(shí)發(fā)現(xiàn)漏洞��。
Klocwork還幫助優(yōu)先處理與SmartRank的工作,SmartRank是一個(gè)革命性的新建議引擎����,它可以優(yōu)先處理問(wèn)題并幫助選擇首先要處理的問(wèn)題。
立即采取優(yōu)先����、糾正措施,以提供更安全和可靠的代碼�����。
進(jìn)一步了解我們的能力����。
開(kāi)源支持
通過(guò)專家級(jí)的商業(yè)級(jí)技術(shù)支持,解決從包裝選擇和設(shè)置到集成和生產(chǎn)問(wèn)題等開(kāi)源問(wèn)題��。
靜態(tài)代碼分析
在編寫(xiě)代碼時(shí)����,盡可能早地連續(xù)檢測(cè)安全性、安全性和可靠性問(wèn)題�����。
預(yù)測(cè)分析
應(yīng)用程序中嵌入久經(jīng)考驗(yàn)的建模、預(yù)測(cè)和優(yōu)化功能����,在不擔(dān)心底層算法的情況下提供復(fù)雜的分析。
應(yīng)用程序安全
通過(guò)在代碼中和運(yùn)行時(shí)檢測(cè)漏洞��,保護(hù)軟件免受安全風(fēng)險(xiǎn)的影響����。通過(guò)高級(jí)靜態(tài)代碼分析���、運(yùn)行時(shí)調(diào)試�����、預(yù)測(cè)性分析和開(kāi)放源碼掃描�,您可以了解�����。
