软件静态分析以及工具Klocwork介绍

最新推荐文章于 2022-10-19 18:15:15 发布
最新推荐文章于 2022-10-19 18:15:15 发布
阅读量1.3w 收藏 14
点赞数 2
分类专栏: 软件工程系列

软件静态分析以及工具Klocwork介绍


1. 软件静态分析

软件静态分析无需执行程序代码,就能发现代码的质量和安全问题,这种技术能够把缺陷的发现和解决时间向前推移至编码阶段。从而显著降低缺陷解决的成本,提高软件的质量。

一般来说,静态分析的准入条件是代码能够通过编译,而它的退出条件则是所报告的可能存在的缺陷都得到合理的评估。

2. 软件静态分析与编译,代码审查,动态测试的关系

 

 


编译主要对源代码进行语法和语义分析。

静态分析工具在代码通过编译之后再对代码进行分析,通常可以嵌入到IDE,或者通过编辑makefile(c/c++),重新进行工程的集成构建。静态分析工具相比编译器而言,对代码进行了进一步严格的检查,像空指针引用,内存管理,数组越界堆栈溢出,未初始化数据引用,编程风格都可以通过静态分析工具检查出来。这些都超出了编译器的功能范畴。

如上所述,静态分析用于检测比较通用的编程问题,借助专业的工具,而代码审查则依赖开发人员,它除了涵盖静态分析中常见的编程问题之外,当然还包括对特定场景的分析和理解。静态分析可以简化代码审查,降低代码审查的工作量。

静态分析无需执行源代码,而动态测试则是对运行的程序进行测试,后者依靠特定的输入来判断输出是否符合期望。

3. Klocwork静态分析工具

静态分析工具很多,商业工具比较有名的有Klocwork,coverity,pc-lint,开源的有splint,findbugs等。这里对Klocwork做一个简单的介绍。

Klocwork帮助开发者构建更加安全可靠的软件,早期发现代码中的质量缺陷。它通过遍历所有的执行路径来确定代码是否存在问题,特别适合于大型工程。

Klocwork提供了如下组件,见图中蓝色部分,主要的安装包分为server package和user package。

 

 


Server package主要包括license server, database server, Klocwork server, Build Tools和Projects Root,各模块的具体功能介绍可以参考http://www.klocwork.com/products/documentation/current/About_the_Klocwork_packages_and_components

我们需要完成集成构建,它主要依赖于build tools组件,则需要安装server package

Klocwork集成构建的主要过程,以C/C++为例,可参见下图

 


·       创建工程->(create project database)

kwadmin --url http://server2:8080/ create-project my_project

·       获取编译设置->(build spec)

kwinject <my_build_command>

输入常常是makefile系列文件

·       运行->results in Tables

kwbuildproject --urlhttp://server2:8080/my_project --tables-directory /my_tables kwinject.out

得到分析结果和报告,存储在tables文件夹里面

·       上传到数据库(update project database)

  kwadmin --url http://server2:8080/ load my_project /my_tables

  详见Klocwork开发者网站文档http://www.klocwork.com/products/documentation/current/Klocwork_Insight_Documentation

 

残阳
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
第41篇:Klocwork代码审计/代码扫描工具的使用教程
ABC_123的博客
01-01 4707
Part1 前言前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码...
静态代码测试工具Klocwork 2023.3:使用构建标记识别构建|文件匹配覆盖|C/C++分析引擎|Java 分析引擎|编码标准覆盖率|更好的使用体验|Klocwork 2023.3的重要更改
最新发布
Polelink北汇信息的博客
11-28 1183
Klocwork 2023.3中的新功能Klocwork 2023.3使用构建标记为Streams和CI/CD分析管道提供了构建管理改进。C/C++分析引擎获得了跟踪由常量索引引用的单个数组元素值的能力。Klocwork分析引擎的总体改进提供了更高的结果准确性和适用于CWE 2023 Top 25和MISRA C:2023®的新的编码标准覆盖率,现已推出。
高效代码静态测试工具Klocwork 2022.3版本快讯:Klocwork 2022.3 中的新增功能 | C# 分析引擎 | Java 分析引擎 | C/C++分析引擎 | 编码标准
Polelink北汇信息的博客
10-19 1376
随着 2022.3 的发布,Klocwork 对 C#、Java、JavaScript、Kotlin和Python的语言覆盖范围进行了更新和改进。微软 Visual Studio IDE 插件已得到改进,可支持 C# 的多线程和增量分析,从而将选定项目和解决方案的分析时间缩短多达 200%*。此外,2022.3 还包括对可配置缺陷抑制功能的增强、扩展的 Android 构建规范生成 CLI 选项以及更广泛的编码标准覆盖范围。(*基于内部基准的开放源码软件项目)
Klocwork — 符合功能安全要求的自动化静态测试工具
经纬恒润的官方博客
07-07 816
Klocwork工具应用静态分析技术,可实现对C、C++、Java等代码的全面静态分析。检查问题种类既包含软件质量和安全缺陷相关,也可实现多种语言编码规则规范的检查。通过使用Klocwork,可以帮助开发人员能够在开发早期检测到程序可能存在的缺陷和漏洞,在开发过程中即可提升代码安全可靠性,确保代码质量可控。 功能及特点 在开发阶段使用Klocwork开展静态分析,立足程序安全性角度进行测试,有利于尽早发现和修复安全性相关问题,并确保代码符合国际公认的编码标准。 •主要功能 ♦ DevSecOps:Kloc
Klocwork工具简介
热门推荐
JingLisen的博客
06-13 1万+
个人博客:打开链接 Klocwork,它通过静态分析的方法,自动检测代码内存泄漏、空指针引用、缓冲区溢出、数组越界等运行错误,相比一些免费的检查工具功能强大很多,对于项目代码质量的改进作用还是比较明显的。这里简单总结一下推广经验。 Klocwork工具介绍 Klocwork软件Klocwork公司基于专利技术分析引擎开发的,综合应用了多种近年来最先进的静态分析技术。与其它同类产品相比,...
klocwork 2020.3安装使用过程
zxctty的博客
12-06 2483
klocwork 2020 1、安装过程略过,可查看2019的安装过程 2、web分析,存在漏报的问题,可能是规则选择不全 3、desktop分析 4、嵌入式环境插件分析 e-mail:lu1024lu@foxmail.com
静态分析资料汇总和学习笔记
03-09
目前市场上存在多种静态分析工具,如美国Synopsis的Coverity Prevent,运用符号执行和模式匹配技术;Rogue Wave的Klocwork Insight,采用符号执行和区间分析;还有HP的Fortify,侧重数据流分析。此外,还有来自不同...
klocwork操作步骤 以及介绍
07-17
Klocwork - 源代码缺陷自动分析工具概述:Klocwork 软件Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来 最先进的静态分析技术,是出色的软件静态分析软件Klocwork 产品与其它同类产品相比, ...
静态代码分析工具汇总
04-01
- **Parasoft** 提供了一系列的静态分析工具,如C++Test,覆盖了C++和Java等语言。 - **Flawfinder** 是一个开源工具,用于检查C和C++中的安全风险,由Python编写。 - **Fortify** 和 **Klocwork Insight** 都是付费...
源代码缺陷分析工具Klocwork白皮书K2019.v1.pdf
11-05
Klocwork 综合应用了多种程序分析领域最先进的技术,是最为出色的以静态算法分析运行时缺 陷的软件Klocwork 产品具有很多突出的特征: Klocwork 支持多种常用的开发语言,能够分析 C、 C++、 C#和 Java 代码;...
KlocWork-TOOL
12-27
KlocWork
Klocwork的一些介绍
09-08
Klocwork 公司是软件静态分析领域技术和市场领先的厂商,全球拥有200 多个客户,其中许多是全球财富500 强中的公司。Klocwork 软件Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来最先进的静态分析技术,是出色的软件静态分析软件
静态分析、测试工具.doc
10-07
静态分析和测试工具软件开发过程中用于检测代码质量和安全性的关键工具。它们通过不执行代码就能识别潜在问题,包括但...通过持续使用静态分析工具,开发者可以在早期阶段发现并修复问题,从而提高代码质量和安全性。
Klocwork安装
旮旯
11-19 8792
简单介绍一下Klocwork在windows下的安装,操作系统是win7,Klocwork的版本是10.0。 第一步:由于Klocwork的安装程序已十分成熟,所以在安装之前不需要什么准备共走。双击Klocwork的安装包,会出现下图的安装引导界面,点击Next按钮。 第二步:下图是协议界面,点击Next按钮。 第三步:选择Klocwork的安装目录,点击Next按钮 第四步:
gitlab使用_使用KlockWork+GitLab实现静态分析安全测试
weixin_39783915的博客
11-30 655
Gitlab是一款涵盖整个DevOps生命周期的集成解决方案。此外,KlockWork是一款能够优化DevSecOps生命周期的静态代码分析器,例如CI/CD Pipelines。当你同时使用GitLab和KlockWork这两款工具的时候,它们可以为开发团队提供强大的GitLab SAST解决方案。在这里,我们将解释Klocwork和GitLab集成的优秀之处。GitLab是什么GitLab是一...
Klocwork自动测试脚本之KwCheckWpj.cmd文件清单
svnLight的专栏
05-16 2628
 @if defined K8TimeCountFile goto START_CHECK@ECHO    ***************************************************************************@ECHO    ***                                                           
软件源代码静态分析工具(Klocwork Insight)
need_er的专栏
02-08 5202
业界发明了程序静态分析(Program Static Analysis)技术,静态分析是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。它可以帮助软件开发人员、质量保证人员查找代码中存在的结构性错误、安全漏洞和代码缺陷等问题,从而保证软件的整体质量。静态分析的特点是能够在代码研发的全周期协
coverity下载 最新企业版离线安装包
zerokkqq的专栏
03-26 1万+
版权归作者所有,任何形式转载请联系作者。作者:技术支持(来自豆瓣)来源:https://www.douban.com/note/658637476/下载地址 http://www.qschecker.comCOVERITY是被Gartner、Forrester、 IDC和 VDC权威机构评定为最领先的应用安全测试解决方案(超大规模分布式静态代码检查工具)。世界上几乎所有超大型软件企业都在使用(包括...
COVERITY下载 2018企业版安装包下载地址
weixin_41751104的博客
03-02 3834
下载地址 http://www.qschecker.comCOVERITY是被Gartner、Forrester、 IDC和 VDC权威机构评定为最领先的应用安全测试解决方案(超大规模分布式静态代码检查工具)。世界上几乎所有超大型软件企业都在使用(包括谷歌,亚马逊,洛克希德马丁,空中客车,华为等)。结合使用离线报告查看器的COVERITY分析器不受用户数限制。全程无需联网,充分保障源代码安全,简洁...
klocwork进行静态分析的步骤
07-02
### 回答1: 使用Klocwork进行静态分析的步骤如下: 1. 配置项目:首先,需要在Klocwork工具中创建项目并配置项目设置。这可能包括设置分析参数、排除不需要分析的文件或目录,并为项目选择适当的编程语言。 2. 构建代码:在进行静态分析之前,需要通过编译源代码构建可执行文件或库。这样可以生成包含编译器信息的中间文件,用于后续的分析。 3. 运行Klocwork分析:使用Klocwork工具通过指定构建好的代码和项目配置进行分析Klocwork会读取代码和中间文件,并根据预定义的规则和模式分析代码。分析可能涉及检查内存管理、并发问题、代码复杂性等方面的问题。 4. 查看分析结果:Klocwork会生成一份静态分析报告,列出代码中发现的问题和错误。这些问题通常会按照严重性进行分类,并给出问题的位置、可疑代码段以及建议的修复操作。开发人员可以使用报告快速定位和解决问题。 5. 调试和修复问题:根据分析报告中列出的问题,开发人员可以查找引起问题的代码并进行调试和修复。确保修复后的代码符合最佳实践和标准,以提高代码的质量和可靠性。 6. 重复分析:在修改代码后,可以重新运行Klocwork分析来验证修复的问题,并确保没有引入新的问题。这个迭代过程可以帮助开发人员不断改进代码的质量和安全性。 总的来说,使用Klocwork进行静态分析的步骤包括配置项目、构建代码、运行分析、查看结果、调试和修复问题以及重复分析。这些步骤可以帮助开发人员及时发现和解决代码中的问题,提高软件质量和可靠性。 ### 回答2: 使用Klocwork进行静态分析通常可以分为以下几个步骤: 1. 安装和配置:首先,需要安装Klocwork并进行初始化配置。这包括选择适合项目的语言和编译器,并设置Klocwork分析的规则和检查项。 2. 构建代码:在进行静态分析之前,需要确保项目的代码是被成功构建的。这通常涉及到编译代码,生成可执行文件或库。 3. 运行分析:通过运行Klocwork分析器对项目的源代码进行分析分析器将检查代码中的潜在错误、安全漏洞、代码质量问题等。这个过程可以是自动化的,也可以通过命令行或集成开发环境工具手动触发。 4. 生成报告:一旦分析完成,Klocwork将生成一个报告,其中包含识别出的问题、其严重程度(如高、中、低),以及推荐的修复方法。报告可以以不同的格式(如HTML、XML)导出,并可根据需要进行自定义设置。 5. 问题排查:通过查看报告和分析结果,开发人员需要逐个检查和修复潜在问题。这可能涉及到理解问题的来源、确定问题的影响范围,并根据最佳实践和开发标准进行代码修复。 6. 重复步骤:一旦修复了检测到的问题,可以重新运行Klocwork分析,确保问题已被解决,新问题未出现。这个过程可能需要多次迭代,以确保代码质量和安全性达到要求。 综上所述,使用Klocwork进行静态分析的步骤主要包括安装和配置、构建代码、运行分析、生成报告、问题排查和重复步骤。这些步骤的执行可以帮助开发团队提前发现和修复潜在问题,提高代码质量和安全性。 ### 回答3: 使用Klocwork进行静态分析的步骤如下: 1. 安装Klocwork:首先,需要从官方网站下载Klocwork并进行安装。安装过程可能涉及输入许可证密钥、选择安装路径等步骤。 2. 创建项目:安装完成后,打开Klocwork并创建一个新的项目。在创建项目时,可以指定项目名称、源代码路径和其他相关设置。 3. 构建项目:在Klocwork中,需要将源代码进行编译,以便生成代码分析所需的中间文件。Klocwork支持多种编译器和构建系统。可以通过命令行或图形界面选择适当的选项进行构建。 4. 运行静态分析:构建完成后,可以使用Klocwork对项目进行静态代码分析Klocwork将会自动分析源代码并检测其中可能存在的缺陷、潜在问题和规范违规等。 5. 查看分析结果:分析完成后,可以通过Klocwork提供的界面查看分析结果。Klocwork会将问题按照严重程度和类型进行分类,并提供详细的问题描述、代码片段和建议修复方法等信息。 6. 修复问题:根据Klocwork提供的问题描述和建议,开发人员可以针对每个问题进行修复。修复可能涉及修改源代码、调整代码结构或采用其他方式来改进代码质量。 7. 重新分析:修复问题后,可以重新运行Klocwork进行分析,以验证修复是否成功。如果分析结果显示问题已经修复,则可以继续进行下一步;如果问题仍存在,则需要继续调试和修复。 8. 重复上述步骤:静态分析是一个迭代的过程,需要反复进行。可以根据具体需求和项目进展情况,重复上述步骤多次,直到代码中的问题和缺陷被彻底解决。 总之,通过以上步骤,使用Klocwork进行静态分析可以帮助开发人员及时发现和修复代码中的问题,提高代码质量和可靠性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值