Rogue Wave Klocwork

更快地交付安全、可靠的和一致的代码

 

随着团队开发具有比以往任何时候都更多功能、更短时间和更严格标准的代码，发现错误和修复安全缺陷变得越来越困难。有了这种复杂性，我们如何在数据泄露和应用程序崩溃转嫁给客户之前阻止它们？我们如何在流程的早期发现它们，以便开发人员可以花费更多的时间为客户创造真正的价值，而不是修复有缺陷的代码？

 

它从开发人员的桌面开始。在这里，代码被编写、测试、审查和重新编写。在这里发现问题，在构建之前的最早可能点，意味着稍后更少的测试，对成本和进度的下游影响更少。它继续进行持续集成（CI），只有Klocwork支持流行的CI工具在签入期间对增量代码更改执行分析，以跟上快速发布交付周期。Klocwork将静态代码分析放在您需要的地方，在开发人员眼前识别关键的安全性、可靠性和编码标准问题---在签入之前、期间和之后。

 

• 动态静态代码分析，以尽早发现问题

 

漏洞和安全漏洞最好在最接近引入位置的地方找到并解决，即在桌面上或通过持续集成构建。更快地找到它们并快速地修复它们，就意味着更快地提供更好的产品。Klocwork在创建代码的同时运行，逐行检查，因此可以立即识别和解决问题。在上下文解析中，确保由正确的人进行补救。

 

安全形势不断变化。确保您的代码具有安全意识，并符合Klocwork标准，在开发人员桌面上或通过持续集成构建结果出现安全漏洞和可靠性问题。开发人员可以在代码合并到版本中之前识别并修复这些问题。

 

Klocwork会在您键入代码时标记安全弱点和代码错误。把它看作是C/C++、Java或C源代码的拼写检查器。使用回溯路径调查问题的深度，该路径标识并描述代码中导致特定问题的每个语句。通过上下文相关帮助中的Klocwork最佳实践链接获取每个问题或安全风险的详细信息，以获取有关特定软件安全领域的其他信息。

 

Klocwork用于世界上许多最大、最苛刻的软件开发环境。

 

• SmartRank推荐引擎，优先处理最重要的问题

 

静态代码分析（SCA）一次又一次地证明了它在减少缺陷和安全漏洞方面的价值。但它也可能带来混乱：首先确定要解决的问题。无论缺陷列表是否太大，或者开发人员对误报持谨慎态度，团队通常都很难在SCA的许多好处和它可能产生更多工作之间找到平衡。

 

有了Klocwork SmartRank，实现这种平衡是可能的。SmartRank建议首先检查和修复特定问题，通过减少花在跟踪那些对发布的软件最重要的问题上的时间来加速生产力的提高。

 

打开SmartRank后，最有可能是真正积极的问题和最有可能在现场发生的问题将首先进行排序和优先级审查，为计划工作提供一种可靠、自动化和可重复的方法。开发人员可以快速决定首先处理哪些缺陷，因为分析结果的排名是明确的——最强烈的建议实际上位于列表的顶部。

 

Klocwork静态分析引擎是一组复杂的高性能算法，可以对应用程序源代码的表示进行操作，以确定控制和数据路径，并确定安全性、质量和标准遵从性问题。SCA引擎的许多组件提供了不同的因素，用于计算检测到的问题是真正的问题的排名。基于一个可定制的阈值，这个排名被转换为用户的SmartRank建议，这表明应该首先检查和修复这些问题。

 

• 持续集成，最大限度地提高可扩展性和性能，一次进行多个并发分析

 

Agile方法、DevOps和持续集成（CI）的采用使软件开发的速度达到了前所未有的水平。现在，Klocwork通过引入连续静态代码分析（CSCA）加快了速度。

 

持续静态代码分析是一种综合的安全性、安全性、可靠性和性能检查程序与持续集成工具的结合，以在开发团队中快速反馈增量检入的运行状况。这一点可以通过Klocwork分析引擎的独特架构实现，其设计目的是最大限度地提高多个并发分析的可扩展性和性能。换句话说，如果您一天要交付许多版本，那么只有Klocwork CSCA能够处理代码更改的频率和复杂性，从而在分析引擎不被混淆或减速的情况下为每个开发人员提供准确的结果。

 

Klocwork与流行的CI工具（如Jenkins和TeamCity）集成，并支持任何使用脚本和命令行的系统。除了动态分析，这使得在开发活动的整个传播过程中都能够进行强大的自动化测试：在开发人员编码时，在桌面上，在签入时进行增量更新，以及在集成过程中，在整个发布过程中进行构建。在任何时候，开发人员和测试人员都会得到快速、有洞察力的分析，以确定问题并更快地解决问题。

 

所有的检查程序，所有的时间，或者一个定制的设置应用在你想要的时候，Klocwork满足你的团队在测试发生的地方。

 

• 应用程序安全以防止恶意攻击

 

世界越来越依赖软件。取决于它。开发软件的需求也在不断增长。让它更快、更好、更安全。

 

更快？检查。更好？检查。安全？要了解和验证是不容易的。而且风险很大。黑客不仅会损害你的产品、公司和品牌，他们还可以通过调整汽车的制动系统、干扰起搏器或更糟的情况来危及生命。开发团队拥有确保代码测试和安全的功能和责任。

 

使用Klocwork静态代码分析保护代码、产品、品牌和生计。Klocwork可以从开发人员桌面的便利性和持续集成（CI）系统的速度自动检测源代码中的数百个潜在安全漏洞。应用一致的最佳实践方法来识别、修复和管理整个组织中的真正安全漏洞。

 

大多数组织需要遵守多种编码标准以确保软件安全。Klocwork包括内置的检查程序，以支持所有领先的标准：

ü  CWE

ü  CERT

ü  DISA STIG v3 and v4

ü  CWE/SANS Top 25

ü  OWASP

ü  MISRA

 

Klocwork配有数百个检查程序。我们的静态代码分析引擎可以通过启用或禁用单个检查程序或完整检查程序组来满足软件开发环境和过程的特定需求，从而强制执行符合每个标准的规则。我们还与世界上一些最大的消费者、军事、通信、电子、移动和其他公司合作创建了一个checker API，使您的团队能够快速轻松地创建定制的安全检查程序。

 

Klocwork旨在检测这些弱点：

 

• 缓冲区溢出

• 未验证的用户输入

• 注射

• 跨站点脚本

• 信息泄露

• 易受攻击的编码实践

• 禁止API

• 内存和资源泄漏

• 并发违规

• 无限循环

• 取消对空指针的引用

• 未初始化数据的使用

• 资源管理

• 内存分配错误

 

• 代码重构以清理代码结构并降低未来成本

 

• 报告和指标，以了解整个团队的问题并确定其优先级

 

您需要回答有关整个代码库的安全性、可靠性和可维护性的复杂问题。使用Klocwork，您可以通过可定制的仪表盘获得详细信息。按重要内容组织代码度量，包括团队、地理位置、组件和其他属性。

 

Klocwork质量标准由我们内部的静态代码分析专家创建，它提供了一种简单的方法来监视、管理和提高软件项目的可靠性。

 

通过将Klocwork质量标准应用于新的或现有的项目，软件缺陷被划分为诸如可疑代码实践、资源泄漏、可维护性、性能等类别。内置的质量报告将向您显示趋势、新问题以及这些类别中问题最多的代码区域。这允许开发人员和管理人员将精力集中在对提高软件项目质量最关键的类别上。

 

Klocwork包含内置的安全报告，可以轻松地可视化最重要软件项目中的安全状态和漏洞趋势。这些报告非常适合包括向管理层和其他利益相关者提交的项目状态报告。

 

Klocwork会自动收集有关桌面上正在查找和修复的内容的信息，即使这些信息从未传播到源流中。在代码签入之前，您的团队将更好地了解减少bug的活动，从而生成一个自下而上的视图，了解bug遏制工作的工作情况。在迭代的早期识别代码库中风险最大的区域。并按人员、组、地理位置、组件以及对组织重要的任何其他属性查看这些信息。

 

• 代码体系结构，用于可视化和优化软件设计

 

可视化和模块化软件项目、层次结构以及与Klocwork丰富的代码体系结构平台的相互依赖性。通过我们的集成，构建分析数据直接加载到领先的第三方体系结构工具中，以优化整体软件设计、最大限度地提高代码重用、进行详细的影响分析等等。

 

• 代码审查，使团队更快地工作，以提供尽可能最好的代码

 

Klocwork代码评审将我们所有的安全性、可靠性和编码标准缺陷引入到一个协作解决问题的环境中，这样您的团队就能更快地修复它们。有了标准代码审查工具的所有特性，例如智能差异和与源代码管理系统的集成，Klocwork已经在您的审查游戏中处于领先地位。添加了社交通知、线程讨论和无限活动墙，开发人员总是能够及时获得信息，帮助解决最新的缺陷并创建更好的代码。

 

对于任何类型的代码或文本文件，开发人员只需单击一次就可以开始、参与或跟踪评论。通过监控相关项目、创建感兴趣的区域以及仅通知重要事项，可以设计和定制评审空间，以满足个人需求。通过将分析结果和问题直接集成到审查空间中，开发人员可以实时协作跟踪、评论和修复问题，而无需离开桌面。一旦修复，可以很容易地通过对几个SCM的支持签入更改，包括Git, Perforce, Subversion, ClearCase和CVS。

 

Klocwork将社会协作带到解决编码问题上，将技能集结合起来，并跨团队共享这一学习成果。下面是Klocwork加速代码审查的几种方法：

 

• 每个开发人员都有实时通知和可定制的活动墙，可以即时查看何时何地提供帮助。

• 个人积压、待办事项列表和丰富的搜索语法，允许任何人快速确定其缺陷减少活动的当前状态。

• 可以将相关行动分配给作者、其他审阅者，甚至是无关方，以便更好地集中工作。

• 高度可定制的可视报告提供有关个人和团队的数据，确定提供真正价值的领域或需要跟进的领域

 

是什么让Klocwork与众不同的？

 

与其他静态代码分析工具不同，Klocwork无缝集成到桌面IDE、构建系统、持续集成工具和任何团队的自然工作流中。反映了代码在任何阶段的开发方式，Klocwork可以防止缺陷，并在编写代码时即时发现漏洞。

 

 

Klocwork还帮助优先处理与SmartRank的工作，SmartRank是一个革命性的新建议引擎，它可以优先处理问题并帮助选择首先要处理的问题。

 

立即采取优先、纠正措施，以提供更安全和可靠的代码。

 

进一步了解我们的能力。

 

 

开源支持

通过专家级的商业级技术支持，解决从包装选择和设置到集成和生产问题等开源问题。

 

 

 

静态代码分析

在编写代码时，尽可能早地连续检测安全性、安全性和可靠性问题。

 

 

预测分析

应用程序中嵌入久经考验的建模、预测和优化功能，在不担心底层算法的情况下提供复杂的分析。

 

 

应用程序安全

通过在代码中和运行时检测漏洞，保护软件免受安全风险的影响。通过高级静态代码分析、运行时调试、预测性分析和开放源码扫描，您可以了解。