新版Coverity都有哪些亮點？

時間：2022-03-14 02:06:01 | 來源：行業(yè)動態(tài)

時間：2022-03-14 02:06:01 來源：行業(yè)動態(tài)

Coverity是一款精確的綜合靜態(tài)分析與應(yīng)用安全測試（SAST）平臺，它可以在編寫代碼時發(fā)現(xiàn)關(guān)鍵的缺陷和安全缺陷，防止它們變成安全漏洞、故障或維護缺陷。Coverity 利用精確和有效的修復(fù)指南，基于專利技術(shù)以及對100億行專用和開源代碼的十年研發(fā)和分析經(jīng)驗，可以識別出開發(fā)期間的關(guān)鍵質(zhì)量缺陷和潛在安全漏洞，有助于降低風(fēng)險和整體項目成本。而Coverity 2018.01具有多個亮點來支持軟件開發(fā)生命周期中的代碼質(zhì)量和安全。

擴展的編程語言覆蓋范圍：即使企業(yè)擴展其軟件組合，采用新的語言、架構(gòu)及技術(shù)，比如移動和微服務(wù)，Coverity也能幫助企業(yè)在應(yīng)用程序中主動構(gòu)建安全性和質(zhì)量。每次發(fā)布新版本，新思科技都將持續(xù)擴大Coverity對新的編程語言的支持，同時加強對現(xiàn)有語言的安全分析。Coverity 2018.01增加了對兩種新語言的支持：通常用于基于微服務(wù)的應(yīng)用程序開發(fā)的Scala和VB.NET。最新發(fā)布的Coverity還為Swift、PHP、Python、JavaScript、Java、C#和Node.js編程語言提供增強的安全分析。通過這些新增功能，Coverity支持用于構(gòu)建嵌入式和企業(yè)級軟件的關(guān)鍵程序語言。

楊國梁表示，軟件開發(fā)語言方面的覆蓋范圍是SAST工具能力的重要體現(xiàn)。Coverity現(xiàn)在覆蓋了17種開發(fā)語言，而且這些語言有一些特性更新的時候，我們也能跟進上去。我們會不斷地收集客戶的需求，增加新的語言支持。此外，各種開發(fā)語言的檢查規(guī)則是不一樣的，并不一定所有的規(guī)則都適用所有的語言，我們需要考慮到各種語言不同的特性，你要適配它的各種檢查規(guī)則。Coverity提供了超過200種語言檢查規(guī)則。

同時，在編譯器支持方面，Coverity也實現(xiàn)了廣泛覆蓋。例如iOS或者安卓編譯工具的升級是很頻繁的，還有嵌入式類設(shè)備的編譯器范圍非常非常繁雜。對于這些編譯器，Coverity實現(xiàn)了平滑支持。

此外，楊國梁表示，對于SAST類工具，誤報率是一個重要的衡量標準，而Coverity的低誤報率是相比其它競爭產(chǎn)品的最大一個亮點。SAST的誤報率是不可避免的。對于研發(fā)人員來說，如果能夠控制它的誤報率在一個比較低的程度，那么給它引入一款好用的工具，肯定是很受歡迎的。通過深入理解源代碼和底層框架，Coverity平臺可以提供高度精確的分析結(jié)果，使開發(fā)人員不再浪費時間管理大量的誤報結(jié)果。

新思科技從2008年開始統(tǒng)計Coverity的誤報率，基于Coverity Scan掃描的四千多個開源項目代碼庫，我們已經(jīng)可以把誤報率控制在10%以下。對于一些我們比較擅長的開發(fā)語音，比如C、C ，甚至可以控制在5%以下。楊國梁說。

支持安全編碼標準：Coverity幫助企業(yè)遵循編碼標準，提升關(guān)鍵嵌入軟件的安全性及可靠性。隨著最新版本的發(fā)布，Coverity 2018.01全面支持SEI CERT C（2016版） 安全編碼的行業(yè)標準。除了CERT C，Coverity也支持MISRA編碼標準的所有版本，并通過了ISO 26262認證。

在楊國梁看來，不管是大公司還是小公司、創(chuàng)業(yè)公司，軟件安全同樣至關(guān)重要。一些小的創(chuàng)業(yè)類公司可能無暇顧及整個開發(fā)流程是不是符合規(guī)范，但是這并不代表他們不重視軟件安全。新思科技的客戶當(dāng)中也不乏中小型企業(yè)和創(chuàng)業(yè)公司。SAST類工具對于他們來說非常重要，可以確保其在研發(fā)階段的安全。

對于國內(nèi)外的SAST需求，楊國梁說，國外公司接受Build Security In內(nèi)置安全的架構(gòu)分析概念可能會好一些，在研發(fā)階段及早地引入SAST工具。而國內(nèi)更樂于接受做一些滲透測試，第三方的代碼檢測等等。但是有趨勢顯示越來越多公司已經(jīng)開始在研發(fā)的早期階段引入SAST的工具。

與現(xiàn)代開發(fā)工具鏈的集成：Coverity支持并集成許多常用的開發(fā)工具，以助力實現(xiàn)快速和自動化的開發(fā)工作流程。Coverity 2018.01為最新的集成開發(fā)環(huán)境（IDEs）提供插件，包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。為了優(yōu)化安全測試，最新版本還借助Jenkins持續(xù)集成（CI）服務(wù)器，以支持開箱即用的集成。Coverity新的Jenkins插件進一步完善了Jenkins Pipeline工作流框架，可以按項目檢索發(fā)現(xiàn)問題，并增強了數(shù)據(jù)過濾功能。

現(xiàn)在在軟件開發(fā)領(lǐng)域出現(xiàn)了很多新的趨勢，比如敏捷、CI/CD、DevOps、微服等。這一方面帶來了軟件研發(fā)的新潮流，但是對于軟件安全來說，它有一定的弊端。楊國梁說，便捷性、快速和安全的考慮，一定程度上是有沖突的。你需要花時間和精力才能夠確保安全性，但是很多時候你沒有足夠的時間和精力做完這些再上線。不管是CI/CD，還是DevOps，標準的流程體系下要求也要做相應(yīng)的安全測試。我們的服務(wù)以及產(chǎn)品都會快速跟進并且滿足這樣的需求。

除了功能更新，據(jù)楊國梁介紹，針對中國用戶，Coverity的界面和所有的文檔都已經(jīng)全部完成本土化。在服務(wù)方面，新思科技加大了中國區(qū)的投入，目前售前、售后及研發(fā)都在中國區(qū)落地，有充足的技術(shù)資源確保中國客戶使用Synopsys SIG（新思科技軟件質(zhì)量與安全部門）的產(chǎn)品。