在當今這個軟件定義的時代，軟件應用的質(zhì)量和安全變得日益重要，安全、高質(zhì)量的軟件助力企業(yè)成功發(fā)展并為終端用戶帶來裨益。與此同時，軟件開發(fā)的速度和過程正在發(fā)生巨大的變化。因此，在整個軟件開發(fā)生命周期用來檢測缺陷和潛在安全漏洞的工具也需要不斷進化升級。

作為世界第15大軟件公司，新思科技是全球排名第一的電子設計自動化（EDA）供應商和全球排名第一的半導體接口IP供應商，同時也是軟件質(zhì)量和安全解決方案的全球領導者。新思科技是應用安全測試領域的公認領導者，它具有獨特的優(yōu)勢，能夠把最新實踐改編和應用到各種新技術和新趨勢之中，例如物聯(lián)網(wǎng)、DevOps、CI/CD和云計算等等。

近日，新思科技推出了其靜態(tài)分析工具的最新版本——Coverity 2018.01。這款業(yè)界領先的工具在軟件開發(fā)生命周期早期分析源代碼，以檢測關鍵質(zhì)量與安全缺陷。Coverity 2018.01擴展了該工具對新編程語言、編碼標準以及開發(fā)工具集成的支持。

新思科技軟件質(zhì)量與安全部門高級安全架構師楊國梁

新思科技軟件質(zhì)量與安全部門高級安全架構師楊國梁告訴記者，其所在Software Integrity Group（軟件質(zhì)量與安全部門）在全世界范圍內(nèi)有一千多個員工，專注于軟件質(zhì)量與安全的測試環(huán)節(jié)，通過產(chǎn)品和服務的組合，確保整個軟件生命周期中的安全。而Coverity是新思科技軟件質(zhì)量與安全平臺的核心組件，被Gartner、Forrester、 IDC和 VDC權威機構評定為領先的應用安全測試解決方案。“Coverity核心技術源自于斯坦福大學的一個項目，后來發(fā)展成為業(yè)界最佳的靜態(tài)分析與應用安全測試（SAST）工具。”

楊國梁表示，SAST靜態(tài)應用安全測試就是通過分析代碼，找出潛在的質(zhì)量問題和安全缺陷，以及合規(guī)方面的問題，確保代碼的質(zhì)量和安全。靜態(tài)應用安全測試被廣泛地應用在各行各業(yè)。

新版Coverity都有哪些亮點？

Coverity是一款精確的綜合靜態(tài)分析與應用安全測試（SAST）平臺，它可以在編寫代碼時發(fā)現(xiàn)關鍵的缺陷和安全缺陷，防止它們變成安全漏洞、故障或維護缺陷。Coverity 利用精確和有效的修復指南，基于專利技術以及對100億行專用和開源代碼的十年研發(fā)和分析經(jīng)驗，可以識別出開發(fā)期間的關鍵質(zhì)量缺陷和潛在安全漏洞，有助于降低風險和整體項目成本。而Coverity 2018.01具有多個亮點來支持軟件開發(fā)生命周期中的代碼質(zhì)量和安全。

擴展的編程語言覆蓋范圍：即使企業(yè)擴展其軟件組合，采用新的語言、架構及技術，比如移動和微服務，Coverity也能幫助企業(yè)在應用程序中主動構建安全性和質(zhì)量。每次發(fā)布新版本，新思科技都將持續(xù)擴大Coverity對新的編程語言的支持，同時加強對現(xiàn)有語言的安全分析。Coverity 2018.01增加了對兩種新語言的支持：通常用于基于微服務的應用程序開發(fā)的Scala和VB.NET。最新發(fā)布的Coverity還為Swift、PHP、Python、JavaScript、Java、C#和Node.js編程語言提供增強的安全分析。通過這些新增功能，Coverity支持用于構建嵌入式和企業(yè)級軟件的關鍵程序語言。

楊國梁表示，軟件開發(fā)語言方面的覆蓋范圍是SAST工具能力的重要體現(xiàn)。“Coverity現(xiàn)在覆蓋了17種開發(fā)語言，而且這些語言有一些特性更新的時候，我們也能跟進上去。我們會不斷地收集客戶的需求，增加新的語言支持。此外，各種開發(fā)語言的檢查規(guī)則是不一樣的，并不一定所有的規(guī)則都適用所有的語言，我們需要考慮到各種語言不同的特性，你要適配它的各種檢查規(guī)則。Coverity提供了超過200種語言檢查規(guī)則。”

同時，在編譯器支持方面，Coverity也實現(xiàn)了廣泛覆蓋。例如iOS或者安卓編譯工具的升級是很頻繁的，還有嵌入式類設備的編譯器范圍非常非常繁雜。對于這些編譯器，Coverity實現(xiàn)了平滑支持。

此外，楊國梁表示，對于SAST類工具，誤報率是一個重要的衡量標準，而Coverity的低誤報率是相比其它競爭產(chǎn)品的最大一個亮點。“SAST的誤報率是不可避免的。對于研發(fā)人員來說，如果能夠控制它的誤報率在一個比較低的程度，那么給它引入一款好用的工具，肯定是很受歡迎的。通過深入理解源代碼和底層框架，Coverity平臺可以提供高度精確的分析結果，使開發(fā)人員不再浪費時間管理大量的誤報結果。”

“新思科技從2008年開始統(tǒng)計Coverity的誤報率，基于Coverity Scan掃描的四千多個開源項目代碼庫，我們已經(jīng)可以把誤報率控制在10%以下。對于一些我們比較擅長的開發(fā)語音，比如C、C++，甚至可以控制在5%以下。”楊國梁說。

支持安全編碼標準：Coverity幫助企業(yè)遵循編碼標準，提升關鍵嵌入軟件的安全性及可靠性。隨著最新版本的發(fā)布，Coverity 2018.01全面支持SEI CERT C（2016版）—— 安全編碼的行業(yè)標準。除了CERT C，Coverity也支持MISRA編碼標準的所有版本，并通過了ISO 26262認證。

在楊國梁看來，不管是大公司還是小公司、創(chuàng)業(yè)公司，軟件安全同樣至關重要。一些小的創(chuàng)業(yè)類公司可能無暇顧及整個開發(fā)流程是不是符合規(guī)范，但是這并不代表他們不重視軟件安全。新思科技的客戶當中也不乏中小型企業(yè)和創(chuàng)業(yè)公司。SAST類工具對于他們來說非常重要，可以確保其在研發(fā)階段的安全。

對于國內(nèi)外的SAST需求，楊國梁說，國外公司接受Build Security In內(nèi)置安全的架構分析概念可能會好一些，在研發(fā)階段及早地引入SAST工具。而國內(nèi)更樂于接受做一些滲透測試，第三方的代碼檢測等等。但是有趨勢顯示越來越多公司已經(jīng)開始在研發(fā)的早期階段引入SAST的工具。

與現(xiàn)代開發(fā)工具鏈的集成：Coverity支持并集成許多常用的開發(fā)工具，以助力實現(xiàn)快速和自動化的開發(fā)工作流程。Coverity 2018.01為最新的集成開發(fā)環(huán)境（IDEs）提供插件，包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。為了優(yōu)化安全測試，最新版本還借助Jenkins持續(xù)集成（CI）服務器，以支持開箱即用的集成。Coverity新的Jenkins插件進一步完善了Jenkins Pipeline工作流框架，可以按項目檢索發(fā)現(xiàn)問題，并增強了數(shù)據(jù)過濾功能。

現(xiàn)在在軟件開發(fā)領域出現(xiàn)了很多新的趨勢，比如敏捷、CI/CD、DevOps、微服等。這一方面帶來了軟件研發(fā)的新潮流，但是對于軟件安全來說，它有一定的弊端。楊國梁說，便捷性、快速和安全的考慮，一定程度上是有沖突的。你需要花時間和精力才能夠確保安全性，但是很多時候你沒有足夠的時間和精力做完這些再上線。“不管是CI/CD，還是DevOps，標準的流程體系下要求也要做相應的安全測試。我們的服務以及產(chǎn)品都會快速跟進并且滿足這樣的需求。”

除了功能更新，據(jù)楊國梁介紹，針對中國用戶，Coverity的界面和所有的文檔都已經(jīng)全部完成本土化。在服務方面，新思科技加大了中國區(qū)的投入，目前售前、售后及研發(fā)都在中國區(qū)落地，有充足的技術資源確保中國客戶使用Synopsys SIG（新思科技軟件質(zhì)量與安全部門）的產(chǎn)品。

標簽： idc 安全 標準 代碼 服務器 漏洞 排名 企業(yè) 問題 行業(yè) 用戶 云計算

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。