Klocwork最新版本引进更强大的C＃和Java分析引擎

• 2020 年 9 月 24 日
• 筆記

最新版本的Klocwork具有许多重大的改进，这些改进大大增强了SAST工具的性能和功能–确保您软件的安全，可靠且合规。下面简单介绍一下此次主要的升级内容：

增强的C＃和Java分析引擎

Klocwork 2020.3 包含一个更为强大的C＃和Java分析引擎，具有更广泛的语言支持，更高的准确性和新的缺陷检测功能。新版本还具有以下显著改进：

• C＃分析引擎的准确性提升，缺陷检测率提高了33％*，并且能够自定义语法和过程间的数据流规则。
  

• Java分析引擎的精确度提高了130％，缺陷检测和框架覆盖率提高了2.5％*。

• 全新且覆盖更广的CWE、CERT和PCI DSS的安全编码标准及安全漏洞检查。

• 新的DevOps集成

  ○ Klocwork Jenkins插件—轻松设置安全测试管道。

  ○ Klocwork CLion IDE插件—缺陷检测可以在桌面直接开展。
  

• Klocwork社区的介绍—为我们的用户和专业服务团队提供交流的平台，共同打造编程标准覆盖的未来。

（基于内部基准的开放源码软件项目）

增强的DevSecOps功能

新版本包括扩展的安全标准覆盖范围和增强功能，使用户能够在软件开发生命周期的早期识别并修复安全漏洞。

此外，Klocwork通过开发和DevOps工具的集成，使自动化安全测试变得容易，从而使开发人员可以在任何地方运行缺陷分析。这包括对桌面IDE，CI / CD管道，容器，云构建系统和机器配置的支持。

Klocwork的另一个重要特征是，它可以与CI / CD管道无缝集成，以实现自动化连续合规—防止每次提交都存在漏洞。Klocwork的差异分析是该过程不可或缺的一部分，该差异分析仅通过分析已更改的文件即可为开发人员提供快速的结果–为他们提供最短的分析时间。

为什么选择Klocwork

Klocwork 2020.3 中引入的改进，有助于巩固Klocwork作为所有嵌入式软件开发行业DevSecOps的最准确和最精确的SAST工具。

Klocwork 2020.3的新增功能

Klocwork 2020.3 发布了一个增强的Java和C#分析引擎，并进行了重大改进，从而扩大了语言覆盖范围，扩展了框架支持，提高了产品性能。

Java分析引擎的重大更新

新的Java语言覆盖范围，扩展的框架支持以及分析精度提高了130％，同时增加了高达2.5％的缺陷结果。完全支持Java语言规范的Java9，对Java11部分支持。

C＃分析引擎的的重大更新

支持自定义C＃路径检查器，并增加了分析的准确性，缺陷数量提高了3％。Klocwork路径分析使用语法和过程间数据流分析来识别复杂缺陷，使用Klocwork的Path语言编写自定义C＃规则，并实施自己的内部编码标准。

C ++分析引擎的改进

通过对以下方面进行改进处理，增强了C ++分析的准确性：

• 函数指针

• 初始化程序列表和统一初始化

• 新增和删除
  

性能
Windows的64位改进：

• 我们已经升级了工具链中的几个组件，以利用64位体系结构，因此Klocwork可以更有效地分析大型，复杂的代码库和项目。
  

编码标准

Klocwork 2020.3 的新的和扩展的编程标准覆盖：

• CWE和CWE 2019排名前25位—C＃，Java

• MISRA C 2012修正案2

新的漏洞检查器

我们在支持的语言中添加并改进了一些检查器：C，C ++，C＃和Java。

新的检查器发现以下缺陷：

• 信息泄漏

• 资源泄漏

• 未经验证的用户输入

• 路径/文件/进程注入

• 污染数据

• 跨站脚本（XSS）

• 危险编码行为

• 安全最佳做法–违规

更多详情请访问：//www.softtest.cn