Coverity静态代码检测工具对比

1.深入和精确的分析

> 通过深入理解源代码和底层框架，Coverity 可以提供高度精确的、可操作的分析结果，使开发人员不再浪费时间管理大量的误报结果。这会帮助他们随同敏捷的 CI/CD 工作流将安全性构建到开发生命周期中。

> Coverity 可以提供完整的路径覆盖范围，确保每一行代码和每一条潜在的执行路径都经过测试。它可以利用多种专利技术，确保深入、精确的分析。

> Coverity 可以集成到您的构建系统中，生成源代码的高保真度说明和注释，以确保深入理解其行为。

> 安全团队只需将Coverity 指向项目源代码即可分析多种语言（即，无需进行构建）。

2.快速和大规模的分析

Coverity 旨在彻底适应您的现有工作流，它具备以下功能：

> 并行分析允许 Coverity 同时运行高达十六个内核，实现的性能比序列分析高出 10 倍。

> 快速桌面分析和增量分析功能支持分析加速，只重新分析发生变动或受变动影响的代码，而非每次分析整个代码库。

> Coverity 可以扩展，在地理分布式环境中容纳数千名开发人员，并且轻松分析超过 1 亿行代码的项目。

3.软件开发生命周期（SDLC）集成

>Coverity 可以快速集成所使用的关键工具和系统，从而支持开发流程（例如： 源代码控制管理、构建和持续集成、缺陷跟踪、应用生命周期管理 (ALM) 解决方案以及集成开发环境 (IDE) 。

>这套开放式平台允许开发人员将第三方分析结果导入工作流，利用软件缺陷和风险单一视图以同一种方式查看和管理所有类型的缺陷。

4.高效的问题管理和修复

>利用该平台的协作式问题管理界面 Coverity Connect，开发人员能够获得可操作的信息以及精确的修复指南，为他们展示修复缺陷的正确方式和修复代码的最佳位置，无需深入的安全专业知识。Synopsys eLearning 客户还可以查看与其代码中的特定 CWE 相关的课程链接，以便更好地了解漏洞并在需要时立即进行安全培训。

>Coverity Connect 提供源代码导航，识别通向缺陷的准确路径，并自动识别共享代码之间发生的每个缺陷。

>缺陷可以自动分配到适合的开发人员加以解决，用户可以快速查看所有未解决的安全问题、OWASP 10 大问题、CWE 和 PCI DSS 相关的问题，以及质量、MISRA、CERT C/C++ 和 AUTOSAR 相关的问题。

5.扩展的标准合规性和漏洞检测

Coverity Extend 是一种易用的软件开发包 (SDK)，允许开发人员检测独有的缺陷类型。这个 SDK 是为编写程序分析器或检查器提供的一个框架，帮助他们识别自定义或特定领域的缺陷。Coverity CodeXM 是一种面向特定领域的函数式编程语言，使开发人员可以轻松地开发他们自己的自定义检查器。这些定制化检查器还有助于满足企业安全要求和行业标准或指导方针的合规要求。

6.促进采用和缓解风险

Coverity Policy Manager 帮助企业定义和强制实施始终如一的标准，支持各个开发团队的代码安全、质量和测试。它可以全面观察团队、项目和组件是否符合这些标准，并基于缺陷和测试相关预定义标准，创建可以衡量的阶段关卡。Coverity Policy Manager 的定制化视图可以选择开发指标和阈值，从而与具体目标保持一致，支持嵌入式、企业级和移动应用。