首页 > 其他分享 >支持DevOps和功能安全/信息安全的静态代码分析器Klocwork

支持DevOps和功能安全/信息安全的静态代码分析器Klocwork

时间:2022-12-09 10:44:30浏览次数:52  
标签:分析 静态 代码 Klocwork DevOps 分析器 Visual Studio

前言

 

Klocwork是一款现代、灵活的静态代码分析器,适用于C、C++、C#、Java、JavaScript、Python和Kotlin的静态检测,可以识别软件中的潜在缺陷,在开发最前期保证代码的安全性和可靠性,帮助软件遵循相应的编码规范。


Klocwork专为企业级DevOps/DevSecOps构建,可拓展到任何规模的项目检测,尤其适用于大型复杂开发环境,可实现不同编译环境的自由切换;支持增量分析;提供Web端管理平台,为项目协作提供极大便利;提供可定制化报告,适应不同项目要求。

 


Klocwork的主要功能特性:

 

 

基于SAST(静态应用程序安全测试)查找安全漏洞


Klocwork具有内置的检查程序,在DevOps(DevSecOps)流程中自动检查源代码中数百个潜在的安全漏洞,确定必须修复的缺陷,并在Validate端给出详细的指导,帮助开发人员高效修复源码中存在的问题,提高代码的安全性、可靠性和合规性。

 

 

支持DevOps


Klocwork工具的设计以持续集成和持续交付为首要思想,这使得将静态代码分析作为CI/CD的一部分变得容易,从而使开发人员能够更早、更频繁地发现代码缺陷。


增量分析:通过Klocwork Server的系统上下文数据,在整个系统已经分析完成后,可以仅分析已更改的文件,提供差异分析结果。这种方式可以尽可能减少分析耗时。


易于自动化:Klocwork工具有强大的命令行界面,我们可以基于命令行实现任何静态分析操作,这为实现测试流程自动化提供了极大便利。


容器化构建:Klocwork可以在容器化和云构建的系统中运行,为能够使用内部云或者外部云服务进行代码静态分析提供最大限度的灵活性和机会。

 

 

支持行业标准要求的编码规范

 

Klocwork支持的行业标准:IEC 61508、ISO 26262、EN 50128、DO-178B/C、 IEC 62304、FDA。在相关标准下涉及到的编码规范有MISRA、AUTOSAR、CERT、CWE、OWASP、DISA STIG、PCI DSS、C Secure、JSF AV C++、NASA,针对以上编码规则,Klocwork提供一站式支持,并且您可以根据项目要求定制化编码规范,这使得通过静态分析自动化遵循编码规范变得非常简单。

 

 

同时,Klocwork支持通过Klocwork Checker Studio定制化检查规则。开发/测试工程师可以借助Klocwork Abstract Syntax Tree (KAST)抽象语法树快速轻松地创建定制的安全检查,契合不同项目的静态分析要求。

 

 

  • 提供网页端集中式分析与管理平台——Klocwork Validate
  • Klocwork Validate集中执行深度代码静态分析,并提供高度可定制的管理平台,使开发人员、主管和其他项目相关人员能够:
  • 定义全局或特定项目的 QA 、安全目标以及规则配置。
  • 控制访问权限和审批流程。
  • 查看趋势图和度量数据,掌握项目质量和趋势。
  • 生成合规性和安全性报告,支持报告的高度定制化。
  • 根据严重程度、位置和生命周期确定缺陷的优先级。
  • 使用 Smart Rank帮助开发人员根据缺陷可能性确定修复的优先级,结合问题严重性(Critical/Error/Warning…),提供整体漏洞风险评分。
  • 针对诊断问题提供详细的修改说明。

 

 

  • 区分新问题与遗留代码问题
  • 将积压问题推送到变更控制系统。
  • 将Helix QAC调查结果导入并集成到Klocwork SAC,实现在单个仪表板中查看和管理合并的分析结果。

 

 

  • 支持的IDEs
  • Supported C/C++ IDEs:CLion、Eclipse、Wind River Workbench、QNX Momentics、Microsoft Visual Studio、Visual Studio Code
  • Supported C# IDEs:Microsoft Visual Studio、Visual Studio Code
  • Supported Java IDEs:Android Studio、Eclipse、IBM Rational Application Developer for WebSphere、JetBrains IntelliJ IDEA、Visual Studio Code
  • Supported JavaScript/Kotlin/Python IDEs:Visual Studio Code

 

支持的编译器


无需用户配置,Klocwork为数百个编译器和交叉编译器提供开箱即用的支持。

 

支持的操作系统

 

  • Amazon Linux 2、CentOS、Debian、Fedora、Oracle Linux、OpenSUSE、SUSE Enterprise、Red Hat Enterprise Linux、Ubuntu
  • Windows 8.1、Windows 10 versions 1809 to 21H2、Windows Server 2012 to R2、Windows Server 2016、Windows Server 2019

 

资质认证


Klocwork通过了ISO、IEC、EN的TÜV-SÜD合规认证,可用于信息安全、功能安全相关软件的开发测试。针对IEC 61508(工业标准)可达SIL4, ISO 26262(汽车功能安全)可达ASIL D, EN 50128(铁路交通)可满足SW-SIL4等级要求, IEC 62304(医疗)Software Safety Class C)标准,帮助客户用更少的时间完成产品认证。

 

 

图 1 资质认证证书


关于原厂:


Perforce是一家DevOps解决方案提供商,其产品覆盖版本控制软件、应用程序生命周期管理平台、敏捷规划软件以及用于静态代码分析的Klockwork等。Perforce有40,000多个客户,涵盖从热门游戏厂商、半导体公司到著名互联网公司、汽车行业、银行及金融公司等各行各业。在静态分析领域,它有30多年软件开发和测试经验,是MISRA编码委员会和AUTOSAR组织的会员,参与编写编码规范,是静态分析领域公认的行业领导和先驱。


客户列表(部分)

 

 

技术支持


由通过Klocwork资质认证的专业技术团队提供技术支持。


技术咨询


根据您的行业及项目需求,为您提供最佳静态测试解决方案(Klocwork、Helix QAC),助力提升测试效率。


产品试用


联系北汇信息,根据您项目需要提供试用许可,帮助您部署软件及解决应用问题。

翻译

搜索

复制

<iframe height="240" width="320"></iframe>

标签:分析,静态,代码,Klocwork,DevOps,分析器,Visual,Studio
From: https://www.cnblogs.com/polelink/p/16968272.html

相关文章

  • Azure Devops 流水线任务插件开发教程 (1/3) —— Quick Start
    目录azuredevops流水线插件的示例概述如何开始开发azuredevops流水线插件的示例概述正如标题所述这是一个简易的流水线任务插件的示例,比起官方的要简单很多,可以让大......
  • Azure DevOps 中自定义控件的开发
    AzureDevOps插件:FieldUniqueControlhttps://github.com/smallidea/azure-devops-extension-custom-control-sample一.概述二.快速开始三.目录结构四.使用......
  • 软件公司不需要DevOps 团队?你错了
    如果您不确定“DevOps”的含义以及您的组织中是否需要DevOps团队,那么本文适合您。在这里,我提供了DevOps及其各个方面的概述,讨论了为什么您最可能希望在您的公司中有一个......
  • DevOps运维开发一体化 - 公开课笔记
    DevOps运维开发一体化DevOps核心思想:最大化提升工作效率,通过一系列技术栈来体现。开发人员产品经理测试人员运维人员…分部门的传统的开发方式,开发周期一般比较长,部门比......
  • 【云原生 • DevOps】一文掌握容器管理工具 Rancher
    一、容器管理工具Rancher介绍Rancher是一个开源的企业级全栈化容器部署及管理平台,其实就是一个Docker的图形化管理界面。它为容器提供基础架构服务,可以让CNI兼容的......
  • DevOps是什么?能够你的团队带来什么?
    最近几年"DevOps"这个关键词经常出现在项目开发当中,特别是随着微服务/容器/cloud在项目中的大范围应用,你不想知道都很难。作为一个伴随CI/CD到DevOps一路走来的工程师,我将......
  • Kubernetes-基于容器云构建devops平台
    1、基于kubernetesdevops的整体方案本文以Kubernetes为基础,为基于java语言研发团队提供一套完整的devops解决方案。在此方案中,开发人员基于eclipse集成开发环境进行代......
  • 一文理解什么是DevOps,通俗易懂白话文
    一文理解什么是DevOps,通俗易懂白话文 devops是什么❝DevOps维基百科定义DevOps(Development和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)......
  • DevOps的流程与规范介绍
    在DevOps中想要实现快速、高质量的业务交付,流程和规范是至关重要的。流程包含软件从需求提出到产品上线投产全套生命周期的所有环节,如需求提出、代码提交、上线流程等。规范......
  • DevOps的组织与角色分析
    DevOps团队的文化价值是实现跨职能高度协同,研发和交付一体化的思维。其整体组织和角色分析如下:1.组织组织中主要困难是跨多个职能团队协作,因此需要一种自上而下的组织模式,能......