在當(dāng)今這個(gè)軟件定義的時(shí)代，軟件應(yīng)用的質(zhì)量和安全變得日益重要，安全、高質(zhì)量的軟件助力企業(yè)成功發(fā)展并為終端用戶帶來裨益。與此同時(shí)，軟件開發(fā)的速度和過程正在發(fā)生巨大的變化。因此，在整個(gè)軟件開發(fā)生命周期用來檢測(cè)缺陷和潛在安全漏洞的工具也需要不斷進(jìn)化升級(jí)。

作為世界第15大軟件公司，新思科技是全球排名第一的電子設(shè)計(jì)自動(dòng)化（EDA）供應(yīng)商和全球排名第一的半導(dǎo)體接口IP供應(yīng)商，同時(shí)也是軟件質(zhì)量和安全解決方案的全球領(lǐng)導(dǎo)者。新思科技是應(yīng)用安全測(cè)試領(lǐng)域的公認(rèn)領(lǐng)導(dǎo)者，它具有獨(dú)特的優(yōu)勢(shì)，能夠把最新實(shí)踐改編和應(yīng)用到各種新技術(shù)和新趨勢(shì)之中，例如物聯(lián)網(wǎng)、DevOps、CI/CD和云計(jì)算等等。

近日，新思科技推出了其靜態(tài)分析工具的最新版本——Coverity 2018.01。這款業(yè)界領(lǐng)先的工具在軟件開發(fā)生命周期早期分析源代碼，以檢測(cè)關(guān)鍵質(zhì)量與安全缺陷。Coverity 2018.01擴(kuò)展了該工具對(duì)新編程語言、編碼標(biāo)準(zhǔn)以及開發(fā)工具集成的支持。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁告訴記者，其所在Software Integrity Group（軟件質(zhì)量與安全部門）在全世界范圍內(nèi)有一千多個(gè)員工，專注于軟件質(zhì)量與安全的測(cè)試環(huán)節(jié)，通過產(chǎn)品和服務(wù)的組合，確保整個(gè)軟件生命周期中的安全。而Coverity是新思科技軟件質(zhì)量與安全平臺(tái)的核心組件，被Gartner、Forrester、 IDC和 VDC權(quán)威機(jī)構(gòu)評(píng)定為領(lǐng)先的應(yīng)用安全測(cè)試解決方案。“Coverity核心技術(shù)源自于斯坦福大學(xué)的一個(gè)項(xiàng)目，后來發(fā)展成為業(yè)界最佳的靜態(tài)分析與應(yīng)用安全測(cè)試（SAST）工具。”

楊國(guó)梁表示，SAST靜態(tài)應(yīng)用安全測(cè)試就是通過分析代碼，找出潛在的質(zhì)量問題和安全缺陷，以及合規(guī)方面的問題，確保代碼的質(zhì)量和安全。靜態(tài)應(yīng)用安全測(cè)試被廣泛地應(yīng)用在各行各業(yè)。

新版Coverity都有哪些亮點(diǎn)？

Coverity是一款精確的綜合靜態(tài)分析與應(yīng)用安全測(cè)試（SAST）平臺(tái)，它可以在編寫代碼時(shí)發(fā)現(xiàn)關(guān)鍵的缺陷和安全缺陷，防止它們變成安全漏洞、故障或維護(hù)缺陷。Coverity 利用精確和有效的修復(fù)指南，基于專利技術(shù)以及對(duì)100億行專用和開源代碼的十年研發(fā)和分析經(jīng)驗(yàn)，可以識(shí)別出開發(fā)期間的關(guān)鍵質(zhì)量缺陷和潛在安全漏洞，有助于降低風(fēng)險(xiǎn)和整體項(xiàng)目成本。而Coverity 2018.01具有多個(gè)亮點(diǎn)來支持軟件開發(fā)生命周期中的代碼質(zhì)量和安全。

擴(kuò)展的編程語言覆蓋范圍：即使企業(yè)擴(kuò)展其軟件組合，采用新的語言、架構(gòu)及技術(shù)，比如移動(dòng)和微服務(wù)，Coverity也能幫助企業(yè)在應(yīng)用程序中主動(dòng)構(gòu)建安全性和質(zhì)量。每次發(fā)布新版本，新思科技都將持續(xù)擴(kuò)大Coverity對(duì)新的編程語言的支持，同時(shí)加強(qiáng)對(duì)現(xiàn)有語言的安全分析。Coverity 2018.01增加了對(duì)兩種新語言的支持：通常用于基于微服務(wù)的應(yīng)用程序開發(fā)的Scala和VB.NET。最新發(fā)布的Coverity還為Swift、PHP、Python、JavaScript、Java、C#和Node.js編程語言提供增強(qiáng)的安全分析。通過這些新增功能，Coverity支持用于構(gòu)建嵌入式和企業(yè)級(jí)軟件的關(guān)鍵程序語言。

楊國(guó)梁表示，軟件開發(fā)語言方面的覆蓋范圍是SAST工具能力的重要體現(xiàn)。“Coverity現(xiàn)在覆蓋了17種開發(fā)語言，而且這些語言有一些特性更新的時(shí)候，我們也能跟進(jìn)上去。我們會(huì)不斷地收集客戶的需求，增加新的語言支持。此外，各種開發(fā)語言的檢查規(guī)則是不一樣的，并不一定所有的規(guī)則都適用所有的語言，我們需要考慮到各種語言不同的特性，你要適配它的各種檢查規(guī)則。Coverity提供了超過200種語言檢查規(guī)則。”

同時(shí)，在編譯器支持方面，Coverity也實(shí)現(xiàn)了廣泛覆蓋。例如iOS或者安卓編譯工具的升級(jí)是很頻繁的，還有嵌入式類設(shè)備的編譯器范圍非常非常繁雜。對(duì)于這些編譯器，Coverity實(shí)現(xiàn)了平滑支持。

此外，楊國(guó)梁表示，對(duì)于SAST類工具，誤報(bào)率是一個(gè)重要的衡量標(biāo)準(zhǔn)，而Coverity的低誤報(bào)率是相比其它競(jìng)爭(zhēng)產(chǎn)品的最大一個(gè)亮點(diǎn)。“SAST的誤報(bào)率是不可避免的。對(duì)于研發(fā)人員來說，如果能夠控制它的誤報(bào)率在一個(gè)比較低的程度，那么給它引入一款好用的工具，肯定是很受歡迎的。通過深入理解源代碼和底層框架，Coverity平臺(tái)可以提供高度精確的分析結(jié)果，使開發(fā)人員不再浪費(fèi)時(shí)間管理大量的誤報(bào)結(jié)果。”

“新思科技從2008年開始統(tǒng)計(jì)Coverity的誤報(bào)率，基于Coverity Scan掃描的四千多個(gè)開源項(xiàng)目代碼庫(kù)，我們已經(jīng)可以把誤報(bào)率控制在10%以下。對(duì)于一些我們比較擅長(zhǎng)的開發(fā)語音，比如C、C++，甚至可以控制在5%以下。”楊國(guó)梁說。

支持安全編碼標(biāo)準(zhǔn)：Coverity幫助企業(yè)遵循編碼標(biāo)準(zhǔn)，提升關(guān)鍵嵌入軟件的安全性及可靠性。隨著最新版本的發(fā)布，Coverity 2018.01全面支持SEI CERT C（2016版）—— 安全編碼的行業(yè)標(biāo)準(zhǔn)。除了CERT C，Coverity也支持MISRA編碼標(biāo)準(zhǔn)的所有版本，并通過了ISO 26262認(rèn)證。

在楊國(guó)梁看來，不管是大公司還是小公司、創(chuàng)業(yè)公司，軟件安全同樣至關(guān)重要。一些小的創(chuàng)業(yè)類公司可能無暇顧及整個(gè)開發(fā)流程是不是符合規(guī)范，但是這并不代表他們不重視軟件安全。新思科技的客戶當(dāng)中也不乏中小型企業(yè)和創(chuàng)業(yè)公司。SAST類工具對(duì)于他們來說非常重要，可以確保其在研發(fā)階段的安全。

對(duì)于國(guó)內(nèi)外的SAST需求，楊國(guó)梁說，國(guó)外公司接受Build Security In內(nèi)置安全的架構(gòu)分析概念可能會(huì)好一些，在研發(fā)階段及早地引入SAST工具。而國(guó)內(nèi)更樂于接受做一些滲透測(cè)試，第三方的代碼檢測(cè)等等。但是有趨勢(shì)顯示越來越多公司已經(jīng)開始在研發(fā)的早期階段引入SAST的工具。

與現(xiàn)代開發(fā)工具鏈的集成：Coverity支持并集成許多常用的開發(fā)工具，以助力實(shí)現(xiàn)快速和自動(dòng)化的開發(fā)工作流程。Coverity 2018.01為最新的集成開發(fā)環(huán)境（IDEs）提供插件，包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。為了優(yōu)化安全測(cè)試，最新版本還借助Jenkins持續(xù)集成（CI）服務(wù)器，以支持開箱即用的集成。Coverity新的Jenkins插件進(jìn)一步完善了Jenkins Pipeline工作流框架，可以按項(xiàng)目檢索發(fā)現(xiàn)問題，并增強(qiáng)了數(shù)據(jù)過濾功能。

現(xiàn)在在軟件開發(fā)領(lǐng)域出現(xiàn)了很多新的趨勢(shì)，比如敏捷、CI/CD、DevOps、微服等。這一方面帶來了軟件研發(fā)的新潮流，但是對(duì)于軟件安全來說，它有一定的弊端。楊國(guó)梁說，便捷性、快速和安全的考慮，一定程度上是有沖突的。你需要花時(shí)間和精力才能夠確保安全性，但是很多時(shí)候你沒有足夠的時(shí)間和精力做完這些再上線。“不管是CI/CD，還是DevOps，標(biāo)準(zhǔn)的流程體系下要求也要做相應(yīng)的安全測(cè)試。我們的服務(wù)以及產(chǎn)品都會(huì)快速跟進(jìn)并且滿足這樣的需求。”

除了功能更新，據(jù)楊國(guó)梁介紹，針對(duì)中國(guó)用戶，Coverity的界面和所有的文檔都已經(jīng)全部完成本土化。在服務(wù)方面，新思科技加大了中國(guó)區(qū)的投入，目前售前、售后及研發(fā)都在中國(guó)區(qū)落地，有充足的技術(shù)資源確保中國(guó)客戶使用Synopsys SIG（新思科技軟件質(zhì)量與安全部門）的產(chǎn)品。

標(biāo)簽： idc 安全 標(biāo)準(zhǔn) 代碼 服務(wù)器 漏洞 排名 企業(yè) 問題 行業(yè) 用戶 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。