在DevOps (DevSecOps)中使用Klocwork 静态应用程序安全测试 (SAST),其安全标准识别安全漏洞——帮助早期发现和修复安全问题,并证明符合国际公认的安全标准。
1、DevSecOps:Klocwork与CI/CD工具、容器、云服务和机器配置集成,使自动化安全测试变得容易。
2、安全标准:CWE、OWASP、CERT、PCI DSS、DISA STIG 和 ISO/IEC TS 17961。
3、安全漏洞检测:SQL 注入、数据污染、缓冲区溢出、易受攻击的编码实践等等。
4、错误、质量问题和代码味道检测:空指针取消引用/异常、内存/资源泄漏、未捕获的异常等等。
项目流通过简化项目规则配置、问题管理、缺陷引用、报告,以及分析数据的高效数据存储,为具有多个变体或分支的共享代码库提供了轻松管理。
创建流有以下好处:
1、将单个项目规则配置分配给所有变量。
2、多个变量的常见问题自动保持同步,只需要引用一次。
3、轻松识别多个流中的相同问题和特定流特有的问题。
4、为合规性、功能安全性或其他证据目的生成单个流的报告。
5、更方便的组织和更高效的存储分析数据。
1、差异分析: 通过Klocwork Server的系统上下文数据,在整系统已经分析完成后,可以仅分析已更改的文件,提供差异分析结果。这种方式可以尽可能减少分析耗时
2、易于自动化:Klocwork工具有通用的命令行界面,你可以通过REST API访问Klocwork缺陷数据。并且这些数据输出都采用了标准格式,例如XML,JSON和PDF。
3、容器化构建:Klocwork可以在容器化和云构建的系统中运行,并且支持按需提供机器实例。为能够使用内部云或者外部云服务进行代码分析提供最大限度的灵活性和机会。
Klocwork合规性和应用程序安全测试 (CAST) 门户网站是整个组织代码库的分析数据、趋势、指标和配置的集中存储 —— 通过Web浏览器访问。
仪表板是高度可定制的,使你的开发人员、主管和其他相关人员能够:
1、定义全局或特定项目的 QA 和安全目标以及规则配置。
2、控制访问权限和审批工作流程。
3、查看项目质量和合规性的趋势和指标数据。
4、生成合规性和安全性报告。
5、根据严重程度、位置和生命周期确定缺陷的优先级。
6、使用 Smart Rank帮助开发人员根据缺陷可能性确定修复的优先级,结合问题严重性,提供整体漏洞风险评分。
7、将新问题与历史遗留代码区分开来查看和管理
8、将积压问题推送到变更控制系统。
9、将Helix QAC调查结果导入并集成到Klocwork SAC,以便在单个仪表板中查看和管理综合分析结果。