支援DevOps和功能安全/資訊保安的靜態程式碼分析器Klocwork
前言
Klocwork是一款現代、靈活的靜態程式碼分析器,適用於C、C++、C#、Java、JavaScript、Python和Kotlin的靜態檢測,可以識別軟體中的潛在缺陷,在開發最前期保證程式碼的安全性和可靠性,幫助軟體遵循相應的編碼規範。
Klocwork專為企業級DevOps/DevSecOps構建,可拓展到任何規模的專案檢測,尤其適用於大型複雜開發環境,可實現不同編譯環境的自由切換;支援增量分析;提供Web端管理平臺,為專案協作提供極大便利;提供可定製化報告,適應不同專案要求。
Klocwork的主要功能特性:
基於SAST(靜態應用程式安全測試)查詢安全漏洞
Klocwork具有內建的檢查程式,在DevOps(DevSecOps)流程中自動檢查原始碼中數百個潛在的安全漏洞,確定必須修復的缺陷,並在Validate端給出詳細的指導,幫助開發人員高效修復原始碼中存在的問題,提高程式碼的安全性、可靠性和合規性。
支援DevOps
Klocwork工具的設計以持續整合和持續交付為首要思想,這使得將靜態程式碼分析作為CI/CD的一部分變得容易,從而使開發人員能夠更早、更頻繁地發現程式碼缺陷。
增量分析:通過Klocwork Server的系統上下文資料,在整個系統已經分析完成後,可以僅分析已更改的檔案,提供差異分析結果。這種方式可以儘可能減少分析耗時。
易於自動化:Klocwork工具有強大的命令列介面,我們可以基於命令列實現任何靜態分析操作,這為實現測試流程自動化提供了極大便利。
容器化構建:Klocwork可以在容器化和雲構建的系統中執行,為能夠使用內部雲或者外部雲服務進行程式碼靜態分析提供最大限度的靈活性和機會。
支援行業標準要求的編碼規範
Klocwork支援的行業標準:IEC 61508、ISO 26262、EN 50128、DO-178B/C、 IEC 62304、FDA。在相關標準下涉及到的編碼規範有MISRA、AUTOSAR、CERT、CWE、OWASP、DISA STIG、PCI DSS、C Secure、JSF AV C++、NASA,針對以上編碼規則,Klocwork提供一站式支援,並且您可以根據專案要求定製化編碼規範,這使得通過靜態分析自動化遵循編碼規範變得非常簡單。
同時,Klocwork支援通過Klocwork Checker Studio定製化檢查規則。開發/測試工程師可以藉助Klocwork Abstract Syntax Tree (KAST)抽象語法樹快速輕鬆地建立定製的安全檢查,契合不同專案的靜態分析要求。
- 提供網頁端集中式分析與管理平臺——Klocwork Validate
- Klocwork Validate集中執行深度程式碼靜態分析,並提供高度可定製的管理平臺,使開發人員、主管和其他專案相關人員能夠:
- 定義全域性或特定專案的 QA 、安全目標以及規則配置。
- 控制訪問許可權和審批流程。
- 檢視趨勢圖和度量資料,掌握專案質量和趨勢。
- 生成合規性和安全性報告,支援報告的高度定製化。
- 根據嚴重程度、位置和生命週期確定缺陷的優先順序。
- 使用 Smart Rank幫助開發人員根據缺陷可能性確定修復的優先順序,結合問題嚴重性(Critical/Error/Warning…),提供整體漏洞風險評分。
- 針對診斷問題提供詳細的修改說明。
- 區分新問題與遺留程式碼問題
- 將積壓問題推送到變更控制系統。
- 將Helix QAC調查結果匯入並整合到Klocwork SAC,實現在單個儀表板中檢視和管理合並的分析結果。
- 支援的IDEs
- Supported C/C++ IDEs:CLion、Eclipse、Wind River Workbench、QNX Momentics、Microsoft Visual Studio、Visual Studio Code
- Supported C# IDEs:Microsoft Visual Studio、Visual Studio Code
- Supported Java IDEs:Android Studio、Eclipse、IBM Rational Application Developer for WebSphere、JetBrains IntelliJ IDEA、Visual Studio Code
- Supported JavaScript/Kotlin/Python IDEs:Visual Studio Code
支援的編譯器
無需使用者配置,Klocwork為數百個編譯器和交叉編譯器提供開箱即用的支援。
支援的作業系統
- Amazon Linux 2、CentOS、Debian、Fedora、Oracle Linux、OpenSUSE、SUSE Enterprise、Red Hat Enterprise Linux、Ubuntu
- Windows 8.1、Windows 10 versions 1809 to 21H2、Windows Server 2012 to R2、Windows Server 2016、Windows Server 2019
資質認證
Klocwork通過了ISO、IEC、EN的TÜV-SÜD合規認證,可用於資訊保安、功能安全相關軟體的開發測試。針對IEC 61508(工業標準)可達SIL4, ISO 26262(汽車功能安全)可達ASIL D, EN 50128(鐵路交通)可滿足SW-SIL4等級要求, IEC 62304(醫療)Software Safety Class C)標準,幫助客戶用更少的時間完成產品認證。
圖 1 資質認證證書
關於原廠:
Perforce是一家DevOps解決方案提供商,其產品覆蓋版本控制軟體、應用程式生命週期管理平臺、敏捷規劃軟體以及用於靜態程式碼分析的Klockwork等。Perforce有40,000多個客戶,涵蓋從熱門遊戲廠商、半導體公司到著名網際網路公司、汽車行業、銀行及金融公司等各行各業。在靜態分析領域,它有30多年軟體開發和測試經驗,是MISRA編碼委員會和AUTOSAR組織的會員,參與編寫編碼規範,是靜態分析領域公認的行業領導和先驅。
客戶列表(部分)
技術支援
由通過Klocwork資質認證的專業技術團隊提供技術支援。
技術諮詢
根據您的行業及專案需求,為您提供最佳靜態測試解決方案(Klocwork、Helix QAC),助力提升測試效率。
產品試用
聯絡北匯信息,根據您專案需要提供試用許可,幫助您部署軟體及解決應用問題。
翻譯
搜尋
複製