18143453325 在线咨询 在线咨询
18143453325 在线咨询
所在位置: 首页 > 营销资讯 > 行业动态 > 新版Coverity都有哪些亮点?

新版Coverity都有哪些亮点?

时间:2022-03-14 02:06:01 | 来源:行业动态

时间:2022-03-14 02:06:01 来源:行业动态

Coverity是一款精确的综合静态分析与应用安全测试(SAST)平台,它可以在编写代码时发现关键的缺陷和安全缺陷,防止它们变成安全漏洞、故障或维护缺陷。Coverity 利用精确和有效的修复指南,基于专利技术以及对100亿行专用和开源代码的十年研发和分析经验,可以识别出开发期间的关键质量缺陷和潜在安全漏洞,有助于降低风险和整体项目成本。而Coverity 2018.01具有多个亮点来支持软件开发生命周期中的代码质量和安全。

扩展的编程语言覆盖范围:即使企业扩展其软件组合,采用新的语言、架构及技术,比如移动和微服务,Coverity也能帮助企业在应用程序中主动构建安全性和质量。每次发布新版本,新思科技都将持续扩大Coverity对新的编程语言的支持,同时加强对现有语言的安全分析。Coverity 2018.01增加了对两种新语言的支持:通常用于基于微服务的应用程序开发的Scala和VB.NET。最新发布的Coverity还为Swift、PHP、Python、JavaScript、Java、C#和Node.js编程语言提供增强的安全分析。通过这些新增功能,Coverity支持用于构建嵌入式和企业级软件的关键程序语言。

杨国梁表示,软件开发语言方面的覆盖范围是SAST工具能力的重要体现。Coverity现在覆盖了17种开发语言,而且这些语言有一些特性更新的时候,我们也能跟进上去。我们会不断地收集客户的需求,增加新的语言支持。此外,各种开发语言的检查规则是不一样的,并不一定所有的规则都适用所有的语言,我们需要考虑到各种语言不同的特性,你要适配它的各种检查规则。Coverity提供了超过200种语言检查规则。

同时,在编译器支持方面,Coverity也实现了广泛覆盖。例如iOS或者安卓编译工具的升级是很频繁的,还有嵌入式类设备的编译器范围非常非常繁杂。对于这些编译器,Coverity实现了平滑支持。

此外,杨国梁表示,对于SAST类工具,误报率是一个重要的衡量标准,而Coverity的低误报率是相比其它竞争产品的最大一个亮点。SAST的误报率是不可避免的。对于研发人员来说,如果能够控制它的误报率在一个比较低的程度,那么给它引入一款好用的工具,肯定是很受欢迎的。通过深入理解源代码和底层框架,Coverity平台可以提供高度精确的分析结果,使开发人员不再浪费时间管理大量的误报结果。

新思科技从2008年开始统计Coverity的误报率,基于Coverity Scan扫描的四千多个开源项目代码库,我们已经可以把误报率控制在10%以下。对于一些我们比较擅长的开发语音,比如C、C ,甚至可以控制在5%以下。杨国梁说。

支持安全编码标准:Coverity帮助企业遵循编码标准,提升关键嵌入软件的安全性及可靠性。随着最新版本的发布,Coverity 2018.01全面支持SEI CERT C(2016版) 安全编码的行业标准。除了CERT C,Coverity也支持MISRA编码标准的所有版本,并通过了ISO 26262认证。

在杨国梁看来,不管是大公司还是小公司、创业公司,软件安全同样至关重要。一些小的创业类公司可能无暇顾及整个开发流程是不是符合规范,但是这并不代表他们不重视软件安全。新思科技的客户当中也不乏中小型企业和创业公司。SAST类工具对于他们来说非常重要,可以确保其在研发阶段的安全。

对于国内外的SAST需求,杨国梁说,国外公司接受Build Security In内置安全的架构分析概念可能会好一些,在研发阶段及早地引入SAST工具。而国内更乐于接受做一些渗透测试,第三方的代码检测等等。但是有趋势显示越来越多公司已经开始在研发的早期阶段引入SAST的工具。

与现代开发工具链的集成:Coverity支持并集成许多常用的开发工具,以助力实现快速和自动化的开发工作流程。Coverity 2018.01为最新的集成开发环境(IDEs)提供插件,包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。为了优化安全测试,最新版本还借助Jenkins持续集成(CI)服务器,以支持开箱即用的集成。Coverity新的Jenkins插件进一步完善了Jenkins Pipeline工作流框架,可以按项目检索发现问题,并增强了数据过滤功能。

现在在软件开发领域出现了很多新的趋势,比如敏捷、CI/CD、DevOps、微服等。这一方面带来了软件研发的新潮流,但是对于软件安全来说,它有一定的弊端。杨国梁说,便捷性、快速和安全的考虑,一定程度上是有冲突的。你需要花时间和精力才能够确保安全性,但是很多时候你没有足够的时间和精力做完这些再上线。不管是CI/CD,还是DevOps,标准的流程体系下要求也要做相应的安全测试。我们的服务以及产品都会快速跟进并且满足这样的需求。

除了功能更新,据杨国梁介绍,针对中国用户,Coverity的界面和所有的文档都已经全部完成本土化。在服务方面,新思科技加大了中国区的投入,目前售前、售后及研发都在中国区落地,有充足的技术资源确保中国客户使用Synopsys SIG(新思科技软件质量与安全部门)的产品。

关键词:

74
73
25
news

版权所有© 亿企邦 1997-2022 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭