Klocwork

产品概述：

Klocwork SAST分析C、C++、C#、 Java、JavaScript、Python和Kotlin编程语言，识别软件的安全、质量和可靠性问题，确保对编程标准的合规性。

Klocwork适用于企业DevOps和DevSecOps，可扩展到任何规模的项目，集成大型复杂的环境、广泛的开发工具、提供控制、协作与报告。

Klocwork的差异分析引擎在保持准确性的同时提供即时分析结果，并与CI/CD管道无缝集成，以自动实现持续的合规性—在每次提交时保护软件不受漏洞的影响。

功能特性：

(一) 发现安全漏洞

软件中出现安全漏洞时，我们的以安全为中心的静态分析引擎就会对其进行识别，这有助于尽早发现和修复漏洞，并使软件符合国际和行业公认的安全标准以及用户自己的企业要求。

(二) 支持DevOps

在我们设计开发Klocwork工具的时候首先就考虑了持续集成和持续交付的问题，从而便于将静态代码分析作为用户CI/CD管道的一部分。

差异分析

使用来自Klocwork Server的系统上下文数据，可以仅分析已更改的文件，同时还提供差异分析结果，就好像对整个系统进行了分析一样。这为用户提供了最短的分析时间。

易于自动化

Klocwork工具具有通用的命令行界面，可以通过REST API访问Klocwork缺陷数据，所有输出格式都使用标准格式，例如XML、JSON和PDF。

容器化构建

Klocwork可以在容器化和云端构建系统中运行，根据需要提供机器实例，提供了最大的灵活性和机会使用内部或外部云服务进行代码分析。

(三) 控制，协作和报告

Klocwork Portal仪表盘集中存储整个组织中代码库的分析数据、趋势、静态度量和分析配置，通过Web浏览器访问。

仪表盘是高度定制化的，使开发人员、经理和其他利益相关者能够：

l 定义全局的或面向项目的QA和安全目标以及规则配置。

l 控制访问权限和批准工作流。

l 查看趋势和度量数据以获取项目质量和合规性。

l 生成合规性和安全性报告。

l 根据严重性、位置和生命周期对缺陷进行优先级排序。

l 将新问题与旧代码问题区分开。

l 将积压问题推送到变更控制系统。

(四) 适合开发人员使用

通过将静态代码分析与其他的开发工具集无缝集成，Klocwork实现了缺陷检测活动的左移，增强了开发人员对工具采用，以此作为培训开发人员和提高生产率的工具。

无需用户配置

Klocwork为数百个编译器和交叉编译器提供了开箱即用的支持。

易于使用

提供流行IDE（包括Microsoft Visual Studio，Eclipse，IntelliJ等）的插件。

连接的桌面客户端

使用连接的桌面插件对本地代码做的更改，可立即在IDE中提供差异分析结果。

详细的反馈和帮助

过程内缺陷和代码违规行为根据风险的严重程度来识别。对于每种缺陷和代码违规，用户将获得详细的起因，包括丰富的上下文相关帮助和补救指南方便用户理解和学习。

自定义规则

图形化的自定义检查器创建工具可快速轻松地实施特定于项目或组织的规则，从而进一步丰富了学习机会。

架构分析

Klocwork还可与另外的架构可视化工具（Structure 101）集成在一起，允许用户通过干净而正确的依赖关系进一步提高其代码库的整体质量和可维护性。

技术规范

支持的语言

C C++ C# Java

支持的功能安全标准

 IEC 61508  ISO 26262  EN 50128  IEC 62304  DO-178B/C

支持的平台

 Windows  Linux  Max OS X

支持的IDE

 Clion  Eclipse  Wind River Workbench  Microsoft Visual Stuidio  Microsoft Visual Studio Code  QNX Momentics  Android Studio  IBM Rational Application Developer  WebSphere  JetBrains Intellij IDEA