亮点不断 新思科技Coverity不断革新SAST新高度

亮点不断 新思科技Coverity不断革新SAST新高度

3个月前 原创 李祥敬

在当今这个软件定义的时代,软件应用的质量和安全变得日益重要,安全、高质量的软件助力企业成功发展并为终端用户带来裨益。与此同时,软件开发的速度和过程正在发生巨大的变化。因此,在整个软件开发生命周期用来检测缺陷和潜在安全漏洞的工具也需要不断进化升级。

作为世界第15大软件公司,新思科技是全球排名第一的电子设计自动化(EDA)供应商和全球排名第一的半导体接口IP供应商,同时也是软件质量和安全解决方案的全球领导者。新思科技是应用安全测试领域的公认领导者,它具有独特的优势,能够把最新实践改编和应用到各种新技术和新趋势之中,例如物联网、DevOps、CI/CD和云计算等等。

近日,新思科技推出了其静态分析工具的最新版本——Coverity 2018.01。这款业界领先的工具在软件开发生命周期早期分析源代码,以检测关键质量与安全缺陷。Coverity 2018.01扩展了该工具对新编程语言、编码标准以及开发工具集成的支持。

亮点不断 新思科技Coverity不断革新SAST新高度

新思科技软件质量与安全部门高级安全架构师杨国梁

新思科技软件质量与安全部门高级安全架构师杨国梁告诉记者,其所在Software Integrity Group(软件质量与安全部门)在全世界范围内有一千多个员工,专注于软件质量与安全的测试环节,通过产品和服务的组合,确保整个软件生命周期中的安全。而Coverity是新思科技软件质量与安全平台的核心组件,被Gartner、Forrester、 IDC和 VDC权威机构评定为领先的应用安全测试解决方案。“Coverity核心技术源自于斯坦福大学的一个项目,后来发展成为业界最佳的静态分析与应用安全测试(SAST)工具。”

杨国梁表示,SAST静态应用安全测试就是通过分析代码,找出潜在的质量问题和安全缺陷,以及合规方面的问题,确保代码的质量和安全。静态应用安全测试被广泛地应用在各行各业。

新版Coverity都有哪些亮点?

Coverity是一款精确的综合静态分析与应用安全测试(SAST)平台,它可以在编写代码时发现关键的缺陷和安全缺陷,防止它们变成安全漏洞、故障或维护缺陷。Coverity 利用精确和有效的修复指南,基于专利技术以及对100亿行专用和开源代码的十年研发和分析经验,可以识别出开发期间的关键质量缺陷和潜在安全漏洞,有助于降低风险和整体项目成本。而Coverity 2018.01具有多个亮点来支持软件开发生命周期中的代码质量和安全。

扩展的编程语言覆盖范围:即使企业扩展其软件组合,采用新的语言、架构及技术,比如移动和微服务,Coverity也能帮助企业在应用程序中主动构建安全性和质量。每次发布新版本,新思科技都将持续扩大Coverity对新的编程语言的支持,同时加强对现有语言的安全分析。Coverity 2018.01增加了对两种新语言的支持:通常用于基于微服务的应用程序开发的Scala和VB.NET。最新发布的Coverity还为Swift、PHP、Python、JavaScript、Java、C#和Node.js编程语言提供增强的安全分析。通过这些新增功能,Coverity支持用于构建嵌入式和企业级软件的关键程序语言。

杨国梁表示,软件开发语言方面的覆盖范围是SAST工具能力的重要体现。“Coverity现在覆盖了17种开发语言,而且这些语言有一些特性更新的时候,我们也能跟进上去。我们会不断地收集客户的需求,增加新的语言支持。此外,各种开发语言的检查规则是不一样的,并不一定所有的规则都适用所有的语言,我们需要考虑到各种语言不同的特性,你要适配它的各种检查规则。Coverity提供了超过200种语言检查规则。”

同时,在编译器支持方面,Coverity也实现了广泛覆盖。例如iOS或者安卓编译工具的升级是很频繁的,还有嵌入式类设备的编译器范围非常非常繁杂。对于这些编译器,Coverity实现了平滑支持。

此外,杨国梁表示,对于SAST类工具,误报率是一个重要的衡量标准,而Coverity的低误报率是相比其它竞争产品的最大一个亮点。“SAST的误报率是不可避免的。对于研发人员来说,如果能够控制它的误报率在一个比较低的程度,那么给它引入一款好用的工具,肯定是很受欢迎的。通过深入理解源代码和底层框架,Coverity平台可以提供高度精确的分析结果,使开发人员不再浪费时间管理大量的误报结果。”

“新思科技从2008年开始统计Coverity的误报率,基于Coverity Scan扫描的四千多个开源项目代码库,我们已经可以把误报率控制在10%以下。对于一些我们比较擅长的开发语音,比如C、C++,甚至可以控制在5%以下。”杨国梁说。

支持安全编码标准:Coverity帮助企业遵循编码标准,提升关键嵌入软件的安全性及可靠性。随着最新版本的发布,Coverity 2018.01全面支持SEI CERT C(2016版)—— 安全编码的行业标准。除了CERT C,Coverity也支持MISRA编码标准的所有版本,并通过了ISO 26262认证。

在杨国梁看来,不管是大公司还是小公司、创业公司,软件安全同样至关重要。一些小的创业类公司可能无暇顾及整个开发流程是不是符合规范,但是这并不代表他们不重视软件安全。新思科技的客户当中也不乏中小型企业和创业公司。SAST类工具对于他们来说非常重要,可以确保其在研发阶段的安全。

对于国内外的SAST需求,杨国梁说,国外公司接受Build Security In内置安全的架构分析概念可能会好一些,在研发阶段及早地引入SAST工具。而国内更乐于接受做一些渗透测试,第三方的代码检测等等。但是有趋势显示越来越多公司已经开始在研发的早期阶段引入SAST的工具。

与现代开发工具链的集成:Coverity支持并集成许多常用的开发工具,以助力实现快速和自动化的开发工作流程。Coverity 2018.01为最新的集成开发环境(IDEs)提供插件,包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。为了优化安全测试,最新版本还借助Jenkins持续集成(CI)服务器,以支持开箱即用的集成。Coverity新的Jenkins插件进一步完善了Jenkins Pipeline工作流框架,可以按项目检索发现问题,并增强了数据过滤功能。

现在在软件开发领域出现了很多新的趋势,比如敏捷、CI/CD、DevOps、微服等。这一方面带来了软件研发的新潮流,但是对于软件安全来说,它有一定的弊端。杨国梁说,便捷性、快速和安全的考虑,一定程度上是有冲突的。你需要花时间和精力才能够确保安全性,但是很多时候你没有足够的时间和精力做完这些再上线。“不管是CI/CD,还是DevOps,标准的流程体系下要求也要做相应的安全测试。我们的服务以及产品都会快速跟进并且满足这样的需求。”

除了功能更新,据杨国梁介绍,针对中国用户,Coverity的界面和所有的文档都已经全部完成本土化。在服务方面,新思科技加大了中国区的投入,目前售前、售后及研发都在中国区落地,有充足的技术资源确保中国客户使用Synopsys SIG(新思科技软件质量与安全部门)的产品。

分享到微信分享到其它
Coverity新思科技
科技行者 每条内容都是头条的新闻客户端 APP下载
即将跳转至电脑版页面您确认跳转吗?
取消 跳转