Perforce静态分析工具2024.2新增功能:Helix QAC全新CI/CD集成支持、Klocwork分析引擎改进和安全增强

最新推荐文章于 2025-01-03 16:48:48 发布
最新推荐文章于 2025-01-03 16:48:48 发布
阅读量1.9k 收藏 8
点赞数 21
分类专栏: Perforce klocwork Helix QAC 文章标签: ci/cd 安全 linux Perforce 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49715102/article/details/142715741
版权

Perforce Helix QACKlocwork的最新版本对静态分析工具进行了重大改进,通过尽早修复错误、降低开发成本和加快发布速度,使开发团队实现左移。

本文中,我们将概述2024.2版本的新特性和新功能。

CI/CD和左移以实现持续合规性

现代软件开发实践要求开发团队具备适应性,在确保代码质量和可靠性的同时,优先考虑灵活性和协作性。在软件开发流程中实施持续集成(CI)和持续交付(CD)流程,是现代DevOps实践的关键。

在软件开发生命周期(SDLC)的构建和测试阶段,持续集成(CI)至关重要。它使开发人员能够识别问题、消除代码冲突、保持储存库的代码更新,并减少储存库提交瓶颈。

在CI构建和自动化测试成功完成后,持续交付(CD)便开始进行。它帮助团队在短时间内生产软件,以便测试变更并上传到储存库。

静态分析工具对自动化执行CI/CD流程至关重要。开发人员可以使用静态分析工具(如Helix QACKlocwork)来扩展CI/CD,并将测试左移至SDLC的早期阶段,在编写代码时就能发现错误和违反标准规则的情况,以确保持续合规性,而无需执行程序。

这些工具有诸多好处,例如用作质量门,确保对代码所做的任何变更都能集成到主线中,并顺利通过CI构建和测试,然后再进入开发的下一阶段。此外,以Klocwork为例,还可以执行差分静态分析。由于Klocwork在集中式服务器中保存了全系统的代码知识,所以它只需要分析新代码和已更改的代码。这就提供了尽可能短的分析时间,并加快了CI/CD流程。

Helix QAC 2024.2中新增的CI/CD集成支持

随着Helix QAC 2024.2的推出,用户可借助新增的Delta Analysis功能,通过Perforce Validate平台获得全面的CI/CD集成支持。这意味着开发人员现在可以管理CI/CD的分析结果,以识别新变更所带来的任何缺陷。

以下是它的工作原理:

1.Helix QAC可为变更集生成Delta Analysis结果,作为新功能分支提交、合并请求或拉取请求的一部分。2.然后,Helix QAC通过Validate平台报告这些结果。

CI Delta结果


Helix QAC的CI/CD流程分析功能,使组织能够更快地识别和沟通错误,而无需等待夜间构建。

开发团队还可以在桌面之外开展工作:将结果集成并发布到Validate中的分析数据、趋势和指标的集中存储区,供整个组织内的用户访问。

CI 构建


这种支持还扩展到在基于云的 CI 流水线中运行的分析作业、容器化构建任务,以及通过内置Web API集成到各种CI/CD平台。这样,开发团队就可以在SDLC的早期阶段发现并修复缺陷,从而更快地推向市场。

现代嵌入式开发:Klocwork 2024.2中的分析引擎改进和安全增强

随着Klocwork的新版本发布,开发人员还获得了现代软件开发所需的改进功能和特性。Klocwork 2024.2为C/C++分析引擎带来了显著的准确性提升和性能改进。

这不仅扩展了对现代C和C++代码结构的语言支持,还引入了在 “现代模式” 下单独运行分析引擎的选项。(注:"现代模式”可能会因分析覆盖率和理解能力的提高而导致结果发生更显著的变化)。

这一新的现代功能带来令人振奋的好处:

  • 提高了C++17及更高版本的代码覆盖率和缺陷检测能力。
  • 降低假阳性(false positives)和假阴性(falsenegatives)率。
  • 分析速度的提升高达25%。(* 基于内部基准测试的开源项目)

2024.2版本还改进了开发人员所需的所有现代身份验证功能,包括通过Validate平台增强 Klocwork的安全性,使用安全断言标记语言(SAML)和OpenID Connect(OIDC)。

这些更新通过集中式身份验证增强了安全性,并通过单点登录(SSO)帮助IT团队简化了用户管理和用户体验。

近年来,随着多因素身份验证(MFA)成为标准安全实践,用户身份验证也有了很大的发展。Perforce 静态分析工具已做好准备,通过在新版本中实施身份验证和密码改进,继续领先一步,迎接未来的安全挑战。

为什么选择Helix QAC和Klocwork?

Helix QAC是作为一款准确且精确的代码分析工具,在嵌入式软件开发行业中实现持续合规性具有显著优势。2024.2版本引入的改进功能,进一步巩固了Helix QAC的领先地位。

Klocwork 2024.2的新增改进措施,同样巩固了Klocwork作为首选SAST工具的地位,以实现大规模的持续合规性、安全性和质量。它可与复杂的环境集成,为整个企业提供控制、协作和报告功能。

了解有关Helix QAC和Klocwork更多新的增强功能,欢迎咨询Perforce中国授权合作伙伴——龙智,申请免费试用。

官网:http://www.shdsd.com

电话:400-666-7732

邮箱:marketing@shdsd.com

代码静态测试工具Helix QAC 2024.3新版发布:C++ 分析增强功能|Validate平台改进功能|数据流|安装|软件质量改进|自动 CCT|生成 Eclipse IDE 插件|重要变化
Polelink北汇信息的博客
11-08 775
Helix QAC 2024.3 附带适用于 Windows Linux 的基于 Qt 的新安装程序,并增强了对Validate SAML/OIDC 身份验证的支持。此版本还包括对某些环境的 Dataflow 稳健性的改进,以及整个产品中的许多生活质量增强功能
Perforce SAST专家详解:自动驾驶汽车的安全与技术挑战,KlocworkHelix QAC等静态代码分析成必备合规性工具
weixin_49715102的博客
11-26 447
自动驾驶汽车的未来已来,你怎么看?期待还是担忧?本文从自动驾驶技术、法律法规、合规性工具等多个角度,解读自动驾驶汽车的安全与挑战,欢迎一读!
游戏开发者必看:Perforce Helix Core 的功能特点及游戏开发中的常用工具、典型用例介绍
weixin_49715102的博客
04-15 1207
提及 Helix Core,大家可能会稍微有些陌生,但其实对游戏从业者来说,他们已习惯称其为 Perforce 或者 P4,这是在细分行业里一个非常耳熟能详的软件。作为 Perforce 旗下的一款高性能的版本控制软件,Helix Core 在游戏芯片行业拥有广泛的用户群体,为什么在这两个行业有广泛应用呢?
Klocwork 代码静态分析工具
旋极智能的博客
03-25 2597
“借助Klocwork,我们能够比传统的手动分析测试更快发现可能遗漏的问题。这使我们能够交付出引以为傲的高质量软件,并满足客户的期望。” — SCM系统工程经理 Klocwork 简介 Klocwork是针对C,C ++,C#Java编程语言的最准确的代码分析器之一。它是一款现代化的敏捷静态代码分析工具,可扩展到任何规模的项目,并在DevOps周期内有效运行。此外,它还通过了TÜV-SÜD的功...
Perforce x Helix 分支策略
07-27
Perforce
Perforce的安装及使用
热门推荐
小曾同学的博客
01-16 1万+
Perforce是一款收费的版本控制管理工具,当然其中也有一些免费的教学版本,应需要下载。后期会写一篇关于Perforce与Visual Studio集成的博客。 注意:在安装Perforce时,应先安装Perforce服务器(Helix Core Sever),再安装Perforce客户端(P4V)。否则会提示错误。 下载网址: https://www.perforce.com/downlo...
工业机器人系统开发中必不可少的工具:Perforce 静态分析工具 Helix QAC Klocwork
weixin_49715102的博客
04-15 655
工业机器人旨在使用先进的机器人系统来实现制造业生产的自动化。据《 Robotics Tomorrow》数据显示,到 2028 年,全球工业机器人市场规模预计将超过 450 亿美元。这一趋势不难理解:对于工业自动化而言,工业机器人至关重要,它通常可以独立地与人类工人一起工作,处理许多日常任务,从而释放人力来进行更复杂的流程或更高层次的决策。在先进制造技术中,最主要的是可以自学的先进机器人。在某些情况下,人工智能(AI)机器学习(ML)使机器能够自行编程自我修正,或者提醒人们注意他们无法独立解决的问题。
探讨AI编写代码技术,以及提高代码质量的关键:静态代码分析工具Perforce Helix QAC & Klocwork
weixin_49715102的博客
06-05 1147
过去,这一过程需要耗费更多的人力,但AI工具可以比人类开发人员更快地完成SDLC的某些部分,从而让开发人员能够专注于更复杂的任务。OpenAI Codex这样的AI驱动的编码助手都是可以使用的工具,可以帮助嵌入式开发人员更快地编写出更好的代码。虽然81%的开发人员表示他们使用了AI驱动的编码助手,但55%的受访软件工程师表示,他们对AI生成代码的质量感到担忧。大多数人都写不出可靠的代码。,您将收到按风险严重程度确定优先级的编码问题诊断,以及有关如何修复代码的建议,帮助您确保代码合规,提高代码效率质量。
展会回顾 | 聚焦嵌入式开发的测试工具,确保安全合规:静态代码分析Perforce Helix QAC&Klocwork、单元测试TESSY
weixin_49715102的博客
07-01 899
这些产品都符合不同行业的安全标准,包括但不限于汽车行业知名的ISO 26262汽车功能安全规范,以及铁路、电子电器、航空航天、医疗等不同行业的功能安全规范。他们期望在产品研发的全过程中,能够有效地进行项目管理,包括问题的管理、事件的处理、后续问题的修复,以及整个流程管理、需求管理等各个环节。龙智此次带来嵌入式开发管理解决方案,也是希望能为嵌入式开发团队提供更先进、更高效的研发工具,来帮助加速研发进程,提高开发效率,从而助力行业客户实现更大的技术突破业务发展。如何应对嵌入式开发的安全与合规挑战?
DevSecOps自动化在安全关键型软件开发中的实践、Helix QAC& Klocwork等SAST工具应用
weixin_49715102的博客
01-03 1545
DevSecOps自动化是指在软件开发生命周期的各个阶段构建安全流程,并使用自动化工具最佳实践来简化开发、安全运营。DevSecOps是一种流行的软件开发实践,用于实现自动化、缩短反馈时间,并确保软件开发的安全性。
龙智ATC汽车软件与安全技术周访谈精华:利用Jira、Confluence、Helix QACKlocwork等工具产品,加强汽车软件研发全球协作,确保功能安全与合规
weixin_49715102的博客
08-19 886
A:龙智公司聚焦于打造业界领先的工具链平台解决方案,也就是现在非常热门的DevOps领域。龙智已经在该领域深耕细作了十多年,为涵盖汽车、金融、通信、游戏以及众多其他行业在内的广泛客户群,提供定制化的软件研发工具平台方案。我们整合了全球前沿的工具产品,另外我们也知道,客户的IT生态系统往往由多家供应商的工具系统构成,为此,龙智也提供专业的定制化开发服务,帮助客户无缝集成不同的工具与系统,构建一个流畅、高效且协同的统一平台,促进客户研发流程的加速与团队协作的深化。
适用于芯片行业的开发及管理工具:版本控制、持续集成、代码分析及项目管理工具介绍
weixin_49715102的博客
04-26 1740
3月28日-29日,2024国际集成电路展览会暨研讨会(IIC Shanghai)在上海成功举行。此次盛会汇聚了集成电路产业的众多领军企业,共同探寻把握集成电路产业的发展脉络。龙智携芯片研发及管理解决方案亮相展会,展示如何通过集成项目管理-Jira、知识库管理-Confluence、需求管理-Jama、版本控制-Helix Core、静态代码分析-Helix QAC/Klocwork等全球领先工具,及全面专业的支持服务,助力芯片行业客户加速芯片开发与管理。
2024 ACT汽车软件与安全技术周 | 龙智携全方位汽车软件开发解决方案亮相,助力应对汽车软件开发功能安全、合规等挑战
weixin_49715102的博客
07-08 891
龙智解决方案提供的静态代码分析工具Helix QAC&Klocwork、单元测试工具TESSY、需求管理工具Jama Connect,可帮助汽车软件开发团队披荆斩棘,轻松满足ISO 26262、ISO 21434等汽车软件安全标准,帮助遵循实施ASPICE指南,快速交付安全、可靠且合规的汽车软件。这位“虚拟团队成员”,不仅显著提升团队成员的个体工作效率,更通过组织数据的智能分析,为团队提供即时、深入的洞察,助力团队在复杂的数据决策中快速找到最优解,从而大幅提升整体工作效率。
从ClearCase迁移至配置管理工具Perforce Helix Core后,全球投资银行获得巨大收益
Dui_learning的博客
05-20 224
为了获取更多的收益,金融服务行业的领导者——全球投资银行选择将他们的版本控制系统从ClearCase迁移至Perforce Helix Core。 为什么改用Perforce Helix Core 更快的性能 审计线索的可见性 生产率提高10% ”Helix Core能给我们提供最好的全方面解决方案。我们每年需要花费约50万美元运行ClearCase,而Perforce Helix Core预计每年只需要将花费约15万美元。另外,由于Perforce Helix Core支持
新兴游戏引擎Godot vs. 主流游戏引擎Unity虚幻引擎,以及版本控制工具Perforce Helix Core如何与其高效集成
weixin_49715102的博客
04-26 8334
游戏行业出现一个新生事物——Godot,一个免费且开源的2D3D游戏引擎。曾经由Unity虚幻引擎(Unreal Engine)等巨头主导的领域如今迎来了竞争对手。随着最近“独特”定价模式的变化,越来越多的独立开发者小型开发团队倾向于选择Godot作为他们的首选游戏引擎。本文,我们将跟随游戏媒体娱乐方面的技术推广专家Ryan一起,深入了解Godot引擎功能局限性,探讨Godot与主流游戏引擎Unity虚幻引擎的不同之处,以及这些游戏引擎为何高度依赖于版本控制系统——。
为虚拟制作团队数字资产安全保驾护航:Perforce软件完成TPN评估
weixin_49715102的博客
10-21 2474
图片 随着虚拟制作的兴起,创意渠道变得越来越复杂分散。全球的团队成员需要远程协作,而这就产生了安全漏洞,范围从错误配置的SSL设置到过期的证书。 为了帮助工作室保护最重要的东西,Trusted Partner Network (TPN) 创建了一个评估流程,将整个行业的基本安全协议标准化。 Perforce软件最近完成了这项评估,让行业领先的工作室相信他们的资产能始终保持安全。继续阅读,了解通过TPN 评估的软件(简称TPN软件)以及 Perforce 如何保护您的流水线。 1 什么是Trusted Pa
版本控制 | 游戏开发企业如何高效远程协作?
weixin_49715102的博客
10-24 2143
随着许多公司都启动远程办公,团队分散在不同的空间,为协作游戏开发带来了挑战。阅读本文,您将了解到如何为远程办公的员工实现协作游戏开发。
游戏数字资产复用——有哪些是你需要知道的?
weixin_49715102的博客
10-28 1911
为了满足不断增长的、对新电子游戏的需求,开发团队需要比以往更快速地行动。即使对于最大的工作室来说,跟上游戏发行制作新游戏数字资产的步伐也是一项挑战。 为了在不牺牲质量的情况下加速开发,许多团队将目光投向过去的项目以及相应的游戏数字资产。游戏数字资产复用可以节省时间,让程序员创意人员利用现有材料进行创新。但是如何在团队项目之间共享游戏数字资产呢?继续阅读即可了解。 首先,搞清楚什么是游戏数字资产 电子游戏有很多内容。游戏数字资产包括一切——纹理、角色、声音、对象、装备、构建、制品库等。 游戏开发中的数.
全局扫描后端代码的人工智能软件
最新发布
03-25
### 人工智能工具用于全局扫描后端代码 目前市场上存在多种人工智能驱动的工具,这些工具可以实现对后端代码的全面审查与分析。通过结合机器学习算法静态代码分析技术,它们能够识别潜在的安全漏洞、性能瓶颈以及不符合最佳实践的部分[^2]。 #### 工具分类及其功能 1. **SonarQube**: SonarQube 是一种广泛使用的开源平台,支持多语言后端代码的质量管理持续集成。它不仅提供语法错误检测,还能评估复杂度、重复率技术债务等问题。其内置规则集覆盖了安全性、可靠性等多个维度[^1]。 2. **DeepSource**: DeepSource 提供了一种云端解决方案,专注于发现隐藏于大型项目中的深层次问题。例如内存泄漏、未初始化变量访问等难以察觉的情况都会被标记出来以便修复[^4]。 3. **Klocwork (Perforce Helix QAC)**: Klocwork 面向企业级应用开发环境而设计, 特别适合那些追求极致稳定性的行业如金融服务业或者医疗设备制造商等领域内的公司采用。它可以深入到函数调用链路层面去挖掘可能存在的隐患并提供建议改进措施. 4. **Snyk**: Snyk 主要关注第三方库引入所带来的风险敞口管理方面的工作。当某个依赖项出现了新的已知漏洞时,Snyk 将迅速通知相关人员采取行动更新版本号或是寻找替代方案以规避威胁. 5. **ShiftLeft CORE**: ShiftLeft 的产品线之一CORE 利用了数据流跟踪(Data Flow Tracking) 技术来模拟攻击路径从而定位敏感信息泄露的可能性位置 。这对于保护用户隐私至关重要尤其是在GDPR法规生效之后更加受到重视[^3]. #### 使用建议 为了获得最有效的结果,在选择具体哪款工具之前应该先明确自己的需求是什么样的?比如是否有特定编程语言偏好;希望侧重解决哪些类型的缺陷(安全 vs 性能优化);预算范围如何等因素都需要考虑进去再做决定. ```python from sonarscanner.api import scan_code def analyze_backend_code(path_to_repo): try: report = scan_code(path_to_repo) return {"status": "success", "details": report} except Exception as e: print(f"Error during analysis: {e}") return {"status": "failure", "message": str(e)} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值