coverity主要特征
分析的深度和准确性
Synopsys静态分析与任何构建系统无缝集成,并生成源代码的高保真度表示,以确保深入了解其行为。
Synopsys Static Analysis提供全mian的路径覆盖,确保每行代码和每个潜在执行路径都被测试。它利用多项***技术来确保深入,coverity价格,准确的分析。
通过深入了解源代码和底层框架,Synopsys Static Analysis提供了高度精que的分析结果,因此开发人员不会浪费时间来管理大量的假阳性结果。这使他们能够有效地将安全性构建到开发生命周期中。
速度和分析规模
Synopsys静态分析从头开始构建,以适应现有的工作流程,具有以下功能:
并行分析允许Synopsys Static Analysis同时运行多达16个内核,并提供比串行分析高10倍的性能提升。
快速桌面分析仅通过重新分析已更改或受到更改影响的代码而不是每次的整个代码库来实现分析加速。
Synopsys Static Analysis可以容纳成千上万的地理分布式环境中的开发人员,coverity,可以轻松分析超过1亿行代码的项目。
高xiao问题管理与补救
通过Coverity Connect,平台的协作问题管理界面,开发人员可以访问可操作的信息和精que的修复指导,向他们展示解决缺陷的正确方法,并在代码中找到***jia的解决方案,而无需深入的安全域***知识。
Coverity Connect提供源代码导航,以确定缺陷的确切路径,并自动识别共享代码中缺陷的每次出现。
缺陷可以自动分配给适当的开发人员进行解决,用户可以快速查看所有未完成的安全问题,OWASP***问题,CWE和PCI相关问题。
软件开发生命周期(SDLC)集成
Synopsys Static Analysis允许快速集成用于支持开发过程的关键工具和系统,例如源代码管理,构建和持续集成,错误跟踪,coverity报价,集成开发环境(IDE)和应用程序生命周期管理(ALM)解决方案。
Synopsys静态分析是一个开放平台,允许开发人员将第三方分析结果导入工作流程,coverity,以单一视图的软件缺陷和风险,以相同的方式查看和管理所有类型的缺陷。
推动采用和减轻风险
Coverity Policy Manager使组织能够在开发团队中定义和执行一致的标准代码安全性以及质量和测试。它提供了哪些团队,项目或组件符合这些标准的可见性,并可以根据关于缺陷和测试的预定义标准创建可衡量的阶段门。 Coverity Policy Manager中的可定制视图允许选择符合嵌入式,企业级和移动应用程序特定目标的开发指标和阈值。
扩展漏洞检测
Coverity Extend是一个易于使用的软件开发工具包(SDK),允许开发人员检测到***的缺陷类型。 SDK是用于编写程序分析器或检查器的框架,它允许它们识别自定义或特定于域的缺陷。定制检查也有助于符合企业安全要求和行业标准或指南。
支持的语言和框架
C / C ++
JavaScript的
ASP .NET
Node.js的
迅速
C#
PHP
Objective-C的
红宝石
Fortran语言
Java的
JSP
Android的
支持的平台
视窗
AIX
Linux的
HP-UX
Mac OS X
NetBSD的
的Solaris
FreeBSD的
一些支持的编译器
VisualDSP ++的
ARM C / C ++
Borland C ++
铛
宇宙C
飞思卡尔Codewarrior
GNU GCC / G ++
绿山C / C ++ / EC ++
高科技PICC
HP aCC
IAR C / C ++
IBM XLC
英特尔C ++
Keil编译器
Marvell MSA
QNX C / C ++
瑞萨C / C ++
SNC C / C ++
SNC GNU C / C ++
ORBIS SDK
PS4
意法半导体GNU C / C ++
意法半导体ST Micro C / C ++
S SUN(Oracle)CC
Synopsys Metaware C和C ++
TI代码作曲家
视觉工作室
风河C / ++
适用于Mac OS X的JDK
OpenJDK的
Sun / Oracle JDK
CEVA XC500
SDLC集成
SCM
AccuRev的
ClearCase的
CVS
混帐
Perforce公司
SVN
TFS SCM
IDE / CI
Android Studio
蚀
IBM RTC
的IntelliJ
QNX时刻
MS Visual Studio
风河工作台
詹金斯
TFS
问题追zong
JIRA
Bugzilla的
关键检查
API使用错误
***jia做法编码错误
构建系统问题
缓冲区溢出
类层次结构不一致
代码可维护性问题
并发数据访问违规
控制流程问题
跨站脚本(XSS)
跨站点请求伪zao(CSRF)
Coverity Scan
Project Spotlight: Python
Coverity Scan Service
Coverity软件诚信报告
Coverity Software Integrity Rating是开发人员,管理层和业务主管使用的客观标准
评估他们在其产品和系统中运送的代码的软件完整性级别。
封面评级要求是基于以下几个因素的评估:
?缺陷密度:对于给定的组件或代码库,静态发现的高风险和中等风险缺陷的数量
分析除以代码行分析。缺陷密度不包括固定缺陷,缺陷被解雇为假
积极的或故意的。例如,如果有一个静态分析发现有100个高风险和中等风险的缺陷
代码基数为100,000行代码,缺陷密度为每千行代码100 / 100,000 = 1个缺陷。
?主要严重缺陷:开发人员可以通过将其标记为“主要”,“中等”或“次要”来评估缺陷的严重程度
(自定义可能会影响这些标签)。我们认为所有严重等级为“Major”的缺陷是值得的
在完整性报告中报告,无论其风险级别如何,因为严重等级由a手动分配
审查缺陷的开发人员。
?假阳性率:如果缺陷报告不是真正的缺陷,开发商可以将缺陷报告标记为假阳性。我们考虑一下
假阳性率低于20%,为Coverity Static Analysis正常。 20%以上的假阳性率表示
可能的错误配置,错误检查,代码中使用不寻常的成语,或我们分析中的缺陷。
Coverity Integrity Level 1要求软件具有小于或等于每千线1个缺陷
的代码,大约是软件行业的平均缺陷密度。
Coverity Integrity Level 2要求软件小于等于0.1
每千行代码的缺陷,大约是第90个百分位数
软件行业。这是一个比1级要高得多的酒吧。一百万行
代码库必须有100个或更少的缺陷才能获得2级资格。
Coverity Integrity Level 3这是今天评级系统中***gao的一个。所有
需要满足以下三个标准:
?每千行代码的缺陷密度小于或等于0.01个缺陷,约为99
软件行业的百分位数。这意味着一个百万行代码库必须有十个或更少的缺陷
剩余。该要求没有指ding***,因为这可能会迫使几个杂散的释放延迟
静态分析缺陷不在关键组件中(否则放弃实现目标3级
发布)。
?假阳性率低于20%。如果比率较高,结果需要由Coverity进行审核才有资格
诚信评级水平。较高的假阳性率表示配置错误,使用不寻常的成语或不正确
诊断大量缺陷。 Coverity Static Analysis对大多数代码的误报率低于20%
因此,我们保留在超出此阈值时对误报进行审核的权利。
?用户将***标记为严重级别。每个缺陷的严重程度可以设置为Major,Moderate或Minor。
这个要求确保用户标记为“主要”的所有缺陷都是固定的,因为我们相信一旦有人
***已经适用,所有主要缺陷必须固定,才能达到3级。
级别未实现表示不符合目标级别标准。这意味着软件太多了
未解决的静态分析缺陷有资格达到所需的目标完整性水平。达到目标完整性水平
评级,更多缺陷应予以审查和修正。
如何使用您的软件完整性评级
为您的项目,产品和团队设置软件完整性标准。
开发人员和开发管理层往往难以客观地比较代码库,项目的完整性,
和产品。 Coverity软件完整性评估是一种创建“苹果对苹果”比较和推广的方式
成功开发团队始终如一地提供高度评价的软件代码和产品。开发团队也可以
使用这些评级作为客观证据来满足质量和安全标准的要求。
审核您的软件供应链。
企业对与其集成的供应商和合作伙伴的软件代码的完整性进行评估是很困难的
他们的产品。 Coverity软件完整性评估是帮助企业创建软件通用测量的一种方式
整个软件供应链的完整性。
促进您对软件完整性的承诺。
您的软件的完整性直接影响到您的品牌的完整性。展示您对软件的承诺
诚信是提升品牌价值的宝贵方式。它表示他们致力于提供安全的软件
coverity价格|华克斯(在线咨询)|coverity由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司()是一家***从事“Loadrunner,QTP/UFT”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,CarbonBlack”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业专用软件中赢得了众的客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!