Klocwork是一款現代化的C/C++/Java/JS/C#程式碼品質靜態檢測工具,利用領先的深度資料流程分析技術,靜態地跨類、跨檔地查找軟體運行時缺陷、錯誤和安全性漏洞,並準確定位錯誤發生的程式碼堆疊路徑。結合對程式碼的編寫規範、安全性和結構等問題的檢測,Klocwork從項目的早期開始就能快速提高程式碼品質。Klocwork支持包括瀑布、敏捷、DevOps/DevSecOps等多種開發模式,符合常見的研發標準的要求。Klocwork可以與軟體發展和測試過程無縫集成,並覆蓋整個研發流程,分析過程可以定時或者按需完全自動化地在Klocwork Server端完成,然後將測試結果即時發佈給使用團隊,所有的測試結果、品質趨勢和修復情況都可以在Klocwork的報告平臺上進行查看和跟蹤。
Klocwork適用於各種規模大小的應用程式,支援百萬行甚至千萬行程式碼的大型專案,分析速度快,準確率高,使用方便。憑藉這些方面的顯著優勢,Klocwork已經成為諸如國防軍工、航空航太、通訊、電力電子、汽車電子和能源等行業廣泛使用的靜態分析工具。
核心價值
-
自動查找程式碼缺陷,快速提升軟體品質
-
靜態掃描軟體安全性漏洞,提高軟體安全性
-
編碼規則分析保證程式碼風格的統一性
-
加快開發速度,無縫集成到研發流程
-
由點及面覆蓋大規模團隊化應用
-
適用大規模程式碼檢測
-
顯著降低人工程式碼走查的工作量
優勢和亮點
-
Klocwork支援自動化掃描1000多種程式碼缺陷,包括空指標、資源及記憶體洩漏、未捕獲的異常、除零等,全面檢測程式碼品質問題
-
Klocwork提供全面的安全規則掃描能力,支援CWE, OWASP, CERT, PCI DSS, DISA STIG, 和ISO/IEC TS 17961等標準深度資料流程分析能力強、準確率高、漏報率低
-
支援對規則的自訂和啟用/禁用/抑制
-
Klocwork通過集成協力廠商商用解析器原生支持超過50種常用編譯開發環境
-
支援與CI/CD工具和集成,完美符合DevOps/DevSecOps等快節奏開發模式
-
現代化的B/S+C/S部署方式,更便於團隊化部署和擴展
-
Klocwork支援靜態檢測軟體應用的安全性漏洞,包括SQL注入、被污染的資料、緩存溢出、弱程式碼實現及其它多種常見應用安全性漏洞
-
Klocwork支援百萬行甚至千萬行以上的程式碼靜態分析,分析速度快
-
全面支援多種開發語言,包括各種主流標準或版本的C/C++, Java, JS和C#等
-
Klocwork提供豐富的協力廠商集成,支援常用的IDE,如Eclipse, Visual Studio, IntelilJ Idea等
-
Klocwork以程式碼缺陷分析和安全性漏洞檢測為核心,同時提供編碼規則和程式碼結構檢測的功能,滿足各種場景需要
-
Klocwork提供多樣的報告和儀錶板便於專案管理和測試結果追蹤
主要功能
-
軟體品質缺陷檢測
-
安全漏洞掃描
-
編碼規則掃描
-
規則定制
-
支持DevOps
-
團隊部署和報告
-
認證和鑒定
-
軟體品質缺陷檢測 Klocwork利用其領先的深度資料流程分析功能,可以對C/C++/Java/JS/C#軟體的常見錯誤、品質缺陷和風險程式碼進行檢測,跨類、跨檔地查找問題發生點,並顯示完整的堆疊路徑。Klocwork支援查找的錯誤類型包括空指標、陣列越界、記憶體和資源洩漏,未初始化訪問、鎖死、未捕獲的異常、除零、不可達程式碼等常見錯誤類型,可以細分為1000多項檢查項。Klocwork支援百萬行甚至千萬行以上的軟體的靜態分析,分析速度快、準確率高、漏報少。Klocwork讓研發團隊在開發初期就能儘早發現程式碼中的潛在品質缺陷,即所謂的“左移”,以此提高靜態分析工具的採用率,並縮短了項目測試週期,顯著降低了後期修復缺陷的成本。
-
安全漏洞掃描
Klocwork的資料流程分析引擎可以對軟體的安全編碼規範和漏洞進行全面掃描,覆蓋CWE, OWASP, CERT, PCI DSS, DISA STIG, 和ISO/IEC TS 17961等安全標準,有效地保證軟體系統的安全性。Klocwork所支援檢測的安全性漏洞類型包括SQL注入、跨站腳本、污染資料、不安全的程式碼等常見的軟體應用安全性漏洞。Klocwork的安全性漏洞掃描功能支援C/C++, Java, JS和C#多種語言開發的應用程式。使用Klocwork的安全性漏洞掃描功能,可以滿足包括汽車網路安全、金融銀行業、政府公共事業等資訊安全關鍵性領域的安全合規審計要求。
-
編碼規則掃描
Klocwork內建了多種常見的為了保證軟體品質的通用編碼規則集,如MISRA C/C++, AutoSAR C++14, JSF AV C++等。使用Klocwork對程式碼進行編碼規範檢測,一方面是為了滿足相關行業合規或程式碼走查的需要,另一方面可以對常出現的程式碼品質缺陷進行預防,即在每行程式碼開發初期就可以通過最佳實踐的程式設計規範來避免危險的、不安全的、或不合理的程式碼出現,從源頭上保證程式碼的品質。
-
規則定制
Klocwork支援使用者根據自身的需求定制靜態分析規則。基於Klocwork提供的定制介面,使用者可以創建符合企業現有開發準則的靜態分析規則集,以實現用自動化的方式替代原本人工完成的程式碼走查工作,加快了產品研發速度。Klocwork所提供的圖形化規則自訂工具操作簡便,保證了實施的效率。Klocwork規則定制的功能適用於C/C++, Java, C#等多種開發語言。
-
支持DevOps
Klocwork提供豐富的功能來滿足DevOps/DevSecOps對開發流程快速反覆運算的要求。Klocwork從誕生之初就是按照持續集成(CI)和持續交付(CD)的理念進行設計開發的。Klocwork支援與Jenkins等CI/CD系統的外掛程式集成,將對程式碼的靜態分析無縫集成到日常持續集成的流程中,大大降低了靜態分析工具實施的難度。Klocwork支援差異化分析,即使用來自 Klocwork Server 的系統上下文資料,可以只分析發生變化的檔,同時還提供差異分析結果,就好像整個系統都被分析過一樣,從而顯著縮短每次靜態分析的時間。另外,Klocwork還提供完整的RESTAPI和XML/JSON/PDF格式的資料介面,並可以在雲容器和雲構建系統中運行,支援按需配置,從而提供了使用內部或外部雲服務分析的最大靈活度和便利。Klocwork對DevOps的支持實現了更早地對每一行程式碼進行檢測,並利用其評審/注釋、任務跟蹤和品質趨勢分析等功能保證測試結果被能及時地修復。
-
團隊部署和報告
Klocwork支援大規模的團隊協作和部署,集成了程式碼版本伺服器、構建伺服器、開發者桌面和Klocwork報告平臺,形成一套完整的程式碼靜態分析和品質管制平臺方案。Klocwork提供豐富的報告和儀錶板,Klocwork Portal儀錶板集中存儲整個組織中程式碼庫的分析資料、趨勢、靜態度量和分析配置,使用者可以通過Web流覽器訪問。Klocwork的儀錶板支持高度定制化,使開發人員、主管和其他利益相關者能夠:1)定義全域的或面向專案的QA,安全目標和規則配置;2)控制存取權限和審批流程;3)查看趨勢圖和度量資料以掌握專案品質、進度和預測情況;4)生成合規性和安全性報告;5)根據嚴重性、位置和生命週期對Klocwork所檢測出的缺陷進行優先順序排序;6)將新問題與歷史遺留程式碼區分開來查看和管理;7)將積壓問題推送到變更控制系統;8)將Helix QAC分析結果導入並集成到Klocwork SAC,以便在單個儀錶板中查看和管理綜合分析結果。
-
認證和鑒定
Klocwork通過了國際權威的協力廠商機構TÜV SÜD針對多種行業標準的認證和鑒定,包括IEC 61508, ISO 26262, EN 50128, IEC 60880和 IEC 62304等,可以為用戶提供工具認證證書和安全手冊,無需用戶再自行對工具進行鑒定。Klocwork還支援對DO-178B/C適航標准的支援,並可以按DO-330標準提供工具的完整適航鑒定包。Klocwork的認證會隨著產品的版本反覆運算不斷地被更新,保證所有的用戶都能及時獲取到最新版本的認證報告。
支援的環境
Klocwork所支援的安裝平臺
Windows/Linux/Solaris的主機作業系統的主流版本
Klocwork所支援的C/C++編譯器系列
Analog Devices Blackfin and TigerSHARC | Microtec |
Archelon | Microware Ultra C for OS-9 |
ARM CC | Mono Headset SDK |
CADUL C for Intel 80X86 | Motorola DSP563 |
CEVA (NVIDIA) | Nintendo Cafe Platform |
Clang | Nvidia CUDA |
CodeWarrior Freescale S12 | NXP StarCore Freescale |
Compiler caching tools | Panasonic MN101E/ MN101L |
CodeWarrior Freescale S12 | Cosmic |
Paradigm | Embarcadero |
Plan 9 | Fujitsu FR |
QNX qcc | GNU |
Renesas | IAR Renesas R32C |
GNU | Renesas |
Green Hills | Rowley Crossworks |
Hexagon Tools | Sony Orbis Clang PS4 |
HI-CROSS+ Motorola HC16 | Sony SN Systems PS2, PS3 and PSVita |
HI-TECH C | Sun Studio |
Hitachi ch38 | Synopsys ARC MetaWare |
HiveCC | Target Chess |
IAR | Tasking |
IBM XL | Tensilica Xtensa |
ImageCraft AVR | TI ARP32 |
Intel iC-386 | TI msp430 |
Keil CA51, C166 and C251 | TI tms32 |
Marvell | TriMedia tmcc |
MetaWare | Watcom |
Metrowerks CodeWarrior | WinAVR |
Microchip MPLAB | Wind River Diab / GCC |
Microsoft Visual Studio | ZiLOG eZ80 |
相關資源
-
白皮書
-
博客
-
新聞資訊
-
修復和預防Bug的成本量化對比_白皮書
點擊下載
-
選擇Fortify靜態程式碼分析工具作為您的下一個SAST工具是正確的嗎?
查看更多
-
醫療器械安全最佳實踐
查看更多
-
車載資訊娛樂系統的網路安全考慮
查看更多
-
開發人員使用Klocwork實現軟體安全的5大原因
查看更多
-
什麼是遺留程式碼:有效地處理遺留程式碼的8個小貼士
查看更多
-
靜態程式碼分析是如何工作的
查看更多
-
什麼是JSF AV C++編碼規範?
查看更多
-
GitLab SAST:如何將Klocwork與GitLab一起使用
查看更多
-
什麼是圈複雜度?
查看更多
-
什麼是誤報?如何識別誤報和漏報
查看更多
-
如何在Perforce靜態程式碼分析工具中生成合規報告
查看更多
-
什麼是CVE?常見漏洞和暴露列表概述
查看更多
-
Docker容器使用指南:如何將Klocwork作為一個容器創建和運行
查看更多
-
如何將Klocwork與Incredibuild一起使用來提高DevOps生產效率
查看更多
-
安全最佳實踐+Klocwork
查看更多
-
Log4Shell是什麼?從Log4j漏洞說起
查看更多
RELATED RESOURCES
