manok的专栏

库博（CoBOT）作为国产静态应用安全测试（SAST）工具标杆，在技术架构、检测能力、行业适配等方面展现显著优势。其自主研发的"值依赖分析引擎"实现语义级缺陷检测，支持"编译通过+编译不通过"双模架构，显著提升嵌入式等高安全场景的检测覆盖率。相比传统工具，库博具备更全面的缺陷与漏洞检测体系，覆盖军工、汽车电子等行业标准，并实现100%自主可控。通过AI赋能和全流程集成能力，库博将误报率降至5%以下，修复效率提升80%，成为高安全领域软件质量保障的战略级伙伴。

库博（CoBOT）是一款国产嵌入式C/C++静态代码分析工具，专为解决军工、汽车电子等领域的高安全需求开发。其核心优势包括：1）全面支持GJB、MISRA等军用/行业标准，实现自动化合规检测；2）采用自主研发的分析引擎，精准识别110+种语义缺陷和90+种安全漏洞；3）适配ARM、DSP等多种嵌入式架构，支持离线部署和低资源运行。该工具已成功应用于航天、汽车等行业，显著提升代码质量，降低缺陷修复成本，成为嵌入式开发领域国产化替代的重要选择。

【嵌入式开发新突破：库博静态分析工具破解编译失败检测难题】针对嵌入式开发中40%以上代码初期无法编译的行业痛点，库博创新推出双模检测架构：既支持传统编译后语义分析，又能直接对未编译代码进行深度检测。该工具采用值依赖分析和抽象语法树技术，无需完整编译环境即可识别潜在缺陷，已成功应用于军工、汽车电子等领域，使检测覆盖率提升至95%+，缺陷发现节点提前至编码阶段。作为国内首个通过CWE认证的静态分析工具，库博特别适用于嵌入式系统、军工研发等对代码质量要求严苛的场景，实现真正的"零门槛"质量管控

这是介绍MISRA C++ 2023标准的文章

实训环境安装需安装JDK1.8并配置环境变量，解压graphviz包到指定路径。将cobot-checker工程文件夹拷贝至本地，由培训老师生成license文件并导入。在Eclipse中导入项目后，需修改配置文件cobot-preprocess.properties中的路径参数，并添加license文件路径。运行检测器时需检查testFile属性路径是否匹配，若无法输出结果需清除Run Configurations中的参数后重新运行。整个流程包含环境配置、文件导入、参数修改及检测执行等步骤。

CDT（Eclipse C/C++开发工具）能够在代码编译不通过的情况下生成抽象语法树(AST)，这一特性使其在代码分析和缺陷检测中具有独特优势。文章详细介绍了CDT的AST生成机制：通过预处理器处理指令，解析器构建AST，即使存在语法错误也会尝试生成包含错误节点的AST。文中提供了通过CDT Java API获取AST的示例代码，并展示了如何检查AST中的错误。此外，文章阐述了如何利用CDT AST编写代码检查器(Checker)，包括检测未使用变量、空指针解引用等常见问题。相比必须完整编译才能分析的Cl

北大软件库博Cobot静态分析工具突破传统检测限制，能在编译失败时仍进行有效分析。其基于CDT/JDT引擎，通过词法分析和语法解析生成AST，即使代码存在错误也能识别潜在缺陷。该工具支持多编译器自动匹配，特别适合非研发部门进行代码质量检测，解决了传统工具依赖完整编译环境的痛点，为软件开发提供了更灵活的质量保障方案。

供应链安全，静态分析

这是常见的SAST支持的编码规则

这是国军标8114的建议性规则

这是17961标准中级别最高的检测规则

OWASP与CWE的对应关系

Cobot的静态指标度量属性

这是Coverity部分C、C++检测规则

这是Coverity支持的静态指标度量属性，不算多，主要是常见的几个。

这是SAST工具，严格说不算真正意义上的静态应用安全测试工具，但是它可以检测很多的静态指标。

Coverity支持的检测规则集合

很多SAST工具集成了FindSecBugs，这里是一些主要的检测规则。

SAST检测规则系列

SAST检测规则系列

SAST检测规则系列

SAST检测规则系列

sast检测规则系列

这是SAST检测规则

SAST检测规则序列之三

SAST检测规则序列

这是一条SAST静态分析规则