•  提供高质量代码的SAST工具

     

    适用于 C、C++、C#、Java、JavaScript、Python 和 Kotlin 的Klocwork 静态代码分析和SAST工具可识别软件安全、质量和可靠性问题,帮助强制遵守标准。

     

    Klocwork 专为企业 DevOps 和 DevSecOps 构建,可扩展到任何规模的项目,与大型复杂环境、广泛的开发人员工具集成,并为整个企业提供控制、协作和报告。这使得 Klocwork 成为首选的静态分析器,它可以保持较高的开发速度,同时强制执行安全和质量的持续合规性。

     

     

    Klocwork 主要特点

    01

    使用SAST查找安全漏洞

    使用Klocwork静态应用程序安全测试 ( SAST ) 进行 DevOps (DevSecOps)。我们的安全标准可以识别安全漏洞,帮助及早发现和解决安全问题,并证明符合国际公认的安全标准。

     

    1、DevSecOps: Klocwork 与 CI/CD 工具、容器、云服务和机器配置集成,使自动化安全测试变得容易。

    2、安全标准:  CWE、OWASP、CERT、PCI DSS、DISA STIG和ISO/IEC TS 17961。

    3、安全漏洞检测: SQL 注入、受污染的数据、缓冲区溢出、易受攻击的编码实践等等。

    4、Bug、质量问题和代码异味检测:空指针取消引用/异常、内存/资源泄漏、未捕获的异常等等。

    02

    项目流

    Project Streams 通过简化项目规则配置、问题管理、缺陷引用、报告和分析数据的高效数据存储,提供对具有多个变体或分支的共享代码库的轻松管理。

     

    创建流有以下好处:

    1、将单个项目规则配置分配给所有变体。

    2、多个变体常见的问题会自动保持同步,并且只需要引用一次。

    3、轻松识别多个流中的相同问题以及特定流特有的问题。

    4、生成各个流的报告,以用于合规性、功能安全或其他证据目的。

    5、分析数据的组织和存储更加便捷。

    03

    开发运营就绪

    Klocwork 工具的设计以持续集成  和持续交付为首要考虑,这使得您可以轻松地将静态代码分析作为 CI/CD 管道的一部分。

     

    差异分析:使用来自 Klocwork Server 的系统上下文数据,可以仅分析发生更改的文件,同时还提供差异分析结果,就像分析了整个系统一样。这为您提供了尽可能短的分析时间。

     

    易于自动化: Klocwork 工具具有通用命令行界面,Klocwork 缺陷数据可通过 REST API 访问,所有输出格式均使用标准格式,例如 XML、JSON 和 PDF。

     

    容器化构建: Klocwork 可以在容器化和云构建系统中运行,并支持根据需要配置机器实例。提供灵活性和使用内部或外部云服务进行代码分析的机会。

    04

    控制、协作和报告

    Klocwork Validate 平台是整个组织内代码库的分析数据、趋势、指标和配置的集中存储 - 可通过 Web 浏览器访问。

     

    该仪表板是高度可定制的,使您的开发人员、经理和其他利益相关者能够:

     

    1、定义全局或特定于项目的 QA 和安全目标以及规则配置。

    2、控制访问权限和审批工作流程。 

    3、查看项目质量和合规性的趋势和指标数据。

    4、生成合规性和安全报告。

    5、根据严重性、位置和生命周期确定缺陷的优先级。

    6、使用智能排名帮助开发人员根据缺陷可能性确定修复的优先级,与问题严重性相结合,提供总体漏洞风险评分。

    7、区分新问题和遗留代码问题。

    8、将积压问题推送至变更控制系统。

    9、将 Helix QAC 结果导入并集成到 Validate 平台,以便在单个仪表板中查看和管理综合分析结果。

    05

    专为开发人员设计

    通过将静态代码分析与开发工具集的其余部分无缝集成,Klocwork 将左移缺陷检测并提高开发人员的采用率,将其作为开发人员培训和提高生产力的工具。

     

    无需用户配置: Klocwork 为数百种编译器和交叉编译器提供开箱即用的支持,因此构建集成是自动的。

     

    易于使用:适用于流行 IDE(包括Microsoft Visual Studio、Eclipse、IntelliJ 等)的插件。

     

    连接桌面:使用连接桌面插件进行的本地代码更改可在 IDE 中提供即时差异分析结果。

     

    详细的反馈和帮助:根据风险的严重程度来识别过程中的缺陷和编码违规。对于每个缺陷和编码违规,您将收到详细的原因信息以及丰富的上下文相关帮助和补救指导。这提供了轻松获得理解和学习的机会。

     

    此外,Klocwork 还具有 Secure Code Warrior 集成功能,可在您编写代码时为您提供针对多种常见开发语言的软件安全课程和培训工具。

     

    自定义规则:图形自定义检查器创建工具可以快速轻松地实施特定于项目或组织的规则 - 进一步丰富学习机会。

     

    架构分析: Klocwork 还与 Structure 101 等架构可视化和执行工具集成,允许用户通过干净且正确的依赖关系进一步提高其代码库的整体质量和可维护性。

     

     

    谁使用Klocwork?

    01

    航空航天与国防

    航空航天、国防和军事组织每天都使用嵌入式软件。确保软件安全可靠至关重要。这给开发人员带来了开发没有任何缺陷的软件的压力。

     

    庞大的代码库和复杂的系统使这成为一个挑战。严格的合规要求使其变得更加困难。借助Klocwork,机载系统开发人员可以轻松证明合规性并开发质量系统。

    02

    能源技术

    能源和公用事业产品开发团队需要确保功能安全合规性、满足行业法规以及减少潜在的安全漏洞和编码错误。对于团队来说,这可能是一个需要有效应对的重大挑战。

     

    借助 Klocwork,能源和公用事业产品开发团队可以轻松遵守编码标准、识别潜在风险并了解代码合规性。

    03

    嵌入式开发

    所有这些流程都需要在严格的合规准则下进行。对于质量关键的行业,代码需要符合编码标准和行业要求。而且,Klocwork 可以证明您的代码是合规的。

    04

    医疗装置

    医疗设备中嵌入的软件质量可能意味着生与死的区别。因此,对设备安全性的审查越来越严格。

     

    通过使用 Klocwork,您将能够满足不断变化的政府法规,并验证您的医疗设备安全、可靠和高效。

    05

    汽车

    汽车软件开发需要超过1亿行代码。此外,安装的嵌入式软件通常是独立于汽车其他部分开发的。

     

    因此,开发团队必须能够有效地应对一系列独特的挑战。借助 Klocwork,开发团队能够在项目上进行协作,并确保他们的代码具有高质量并符合法规要求。

     

新产品
Anaconda Qodana IMSL TotalView Zend Akana OpenLogic Puppet Helix QAC BlazeMeter Perfecto Helix DAM JRebel Methodics IPLM Helix TeamHub