使用Klockwork进行代码分析简单操作流程

最新推荐文章于 2024-06-20 09:16:18 发布
最新推荐文章于 2024-06-20 09:16:18 发布
阅读量2.6w 收藏 41
点赞数
分类专栏: Test tools 文章标签: Klockwork
  前一段时间公司试用了一下klockwork公司的klockwork代码静态分析软件,我所在项目组进行了试点,试用后感觉不错,有几大亮点:

        1)对代码进行静态分析,无需改动任何源码文件;

        2)分析出来的缺陷问题准率比较高。根据我使用情况来看,达到90%以上;

        3)针对问题的描述非常清晰,有详细的问题产生流程(具体每一步骤所涉及的源代码文件、行数),基本上一看就清楚问题的产生来源;

        4)具备跨文件/模块的分析能力(这一点对于大型项目尤其重要)。

        当然,目前为止我也只是试用了该软件关于问题缺陷的分析功能,还有很多高级功能没有用到。以下针对该软件的安装及简单使用进行说明。

        Linux系统软件安装及操作:

        1)安装服务端程序:

      ./kw-server-installer.9.2.1.7276.linux.sh -i /usr/local/kwserver –a

      -i选项设置安装目录,-a不打印授权协议信息

      注意:必须以普通用户进行服务端程序的安装。

2)拷贝license文件到安装目录下的prjects_root/licenses目录;

3)启动klockwork软件:  
             /usr/local/kwserver/bin/kwservice -r /usr/local/kwserver/projects_root/ start
             Klockwork软件自带了mysql数据库,其启动时也会进行数据库的启动,可能造成其自带数据库端口号与系统数据库端口号冲突,此时通过如下命令进行数据库端口号的修改:
             /usr/local/kwserver/bin/kwservice –r /usr/local/kwserver/projects_root/ set-service-property database port 3310
            如上命令将数据库缺省的3306端口改为3310。

     注意:以上命令只能由普通用户执行(非root用户)。

4)代码静态分析:

     a)采集程序信息
                 进入软件项目目录,运行如下命令采集程序信息(第一次运行该命令必须保证完整make):

          /usr/local/kwserver/bin/kwinject -o xxx.out make

          其中,xxx.out为所采集程序信息的输出文件,为避免遗忘,名称与项目名称一致。

     b)建立静态分析工程:
                 /usr/local/kwserver/bin/kwadmin create-project xxx --language c,cxx

         其中,xxx为静态分析工程名称(即分析结果项目名称)。c,cxx表示该工程为C/C++工程(当前支持c,cxx,java,csharp,多种语言中用“,”分隔)。可通过如下命令查看当前存在的工程:/usr/local/kwserver/bin/kwadmin list-projects。

      c)对代码进行静态分析:
                  /usr/local/kwserver/bin/kwbuildproject -f -o ./table1 xxx.out

          其中,-f表示强制进行项目的build,即使目标目录中已经存在上次build后的数据。 -o设置分析结果目录,./table1为静态分析结果数据的存放目录,可以根据需要进行修改。xxx.out为前述生成的静态分析工程名称。如果一个项目涉及多个静态分析工程,则多个工程间用空格进行分隔。

      d)加载分析结果:
                  /usr/local/kwserver/bin/kwadmin load xxx ./table1/

          其中,xxx为静态分析工程名称,./table1为静态分析结果数据目录。

5)通过http://xxx.xxx.xxx.xxx:8080地址查看以上静态分析结果,其中xxx.xxx.xxx.xxx为klockwork服务器地址,截图如下:

    

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 Windows系统软件安装及操作:
1)运行服务端安装程序,期间自动安装所需要的Java 2 SE Runtime Environment 6u22及相应的.Net Framework;
2)安装过程说明:
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
  
      该目录存放服务器数据(含License文件)
 
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
 
      缺省的服务器端口为8080,数据库端口为3306,License服务器端口为27000。
3)安装完成后,通过菜单的“Start Klockwork Servers”菜单项进行启动,然后运行Klockwork Management Console进行操作;
4)代码静态分析流程:
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
      a)如上图,通过klockwork management console的File菜单New Project菜单项建立新工程,在新工程窗体中选中C,C++语言。注意:C/C++语言不能与C#语言同时选中。
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
        b)如上图,选择代码工程,选择源代码文件编码格式;
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
       c)如上图,选择所有选项,以保证分析结果更详细;
 
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
       d)如上图, 新建立的工程如上图所示,选中该工程,点击右键菜单的“Build”菜单进行工程的代码静态分析;
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
        e)如上图, 显示Build进度,indow自动将Linux系统中的多个分析步骤集成于一体,只需要简单的Build就完成一切。

当然,klockwork软件有服务端与客户端之分,以上只针对最简单方式进行说明。
 
zm_21
关注
专栏目录
Klocwork安装
旮旯
11-19 8906
简单介绍一下Klocwork在windows下的安装,操作系统是win7,Klocwork的版本是10.0。 第一步:由于Klocwork的安装程序已十分成熟,所以在安装之前不需要什么准备共走。双击Klocwork的安装包,会出现下图的安装引导界面,点击Next按钮。 第二步:下图是协议界面,点击Next按钮。 第三步:选择Klocwork的安装目录,点击Next按钮 第四步:
klocwork10安装及使用
weixin_40593654的博客
08-01 3274
Klocwork是一款广泛使用的静态代码分析工具,用于发现和修复软件代码中的缺陷、潜在漏洞和安全问题。它可以在早期阶段自动化地检测和报告代码中的错误,从而帮助开发团队提高代码质量、可靠性和安全性。
klocwork操作步骤 以及介绍
07-17
Klocwork 介绍 Klocwork - 源代码缺陷自动分析工具概述:Klocwork 软件是 Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来 最先进的静态分析技术,是出色的软件静态分析软件。Klocwork 产品与其它同类产品相比, 具有很多突出的特征:Klocwork 支持的语言种类多,能够分析 C、C++和 Java 代码;能够发 现的软件缺陷种类全面,既包括软件质量缺陷,又包括安全漏洞方面的缺陷,还可以分析对软 件架构、编程规则的违反情况;软件分析功能全面,既能分析软件的缺陷,又能进行可视化的 架构分析、优化;能够分析软件的各种度量;能够提供与多种主流 IDE 开发环境的集成;能 够分析超大型软件(上千万代码行)。主要功能: 缺陷检测提供多角度的各种缺陷类型的分析。自动化的缺陷检测功能易于使用,定制灵活,具有图 形化的构建和报表管理图形界面,拥有业界领先的消息过滤器,极具柔性的配置,和强大的学 习调整知识库;Klocwork 能够分析 C/C++和 Java 代码,生成代码问题报告,能够发现的缺陷 类型举例。(详细参见附录): C/C++缺陷类型样例 空指针释放 内存管理问题(如:内存泄漏) 数组越界 未初始化数据使用 编码风格问题(如:在条件中赋值) Java 缺陷类型样例 效率错误(如:空的 finalize 方法) 可维护性问题(如:空的 catch 从句) 可靠性问题(如资源泄漏) 安全漏洞检测Klocwork 确信软件安全性是软件质量中一个重要的、并越来越受重视的方面。同样的, 所有的 Klocwork 安全漏洞分析是基于市场领先的缺陷检测能力,从原来的缺陷检测分离出来 单独的安全漏洞检测和违反推荐的安全代码最佳实践的缺陷检测。 能够检测到的安全漏洞类型 举例(详细参见附录) C/C++安全漏洞分类 访问控制缺陷 缓冲区溢出 DNS 欺骗 忽略返回值 注入缺陷 不安全的存储 未经验证的用户输入 Java 安全漏洞分类 拒绝服务 注入缺陷(如:SQL 注入、进程注入等) 未经验证的输入 移动代码安全 有漏洞的会话管理 跨站点脚本 出错处理不当
Mysql慢查询及优化(全网最详细!!!)
最新发布
国家专精特新小巨人、资深消防行业企业、国家高新技术企业、智慧消防技术实验室、准独角兽企业、浙江省电流AI技术研发中心
06-20 5844
MySQL慢查询指执行时间超过预设阈值(如10秒)的SQL查询。通过设置long_query_time调整阈值,并开启慢查询日志记录这些查询。优化包括:创建合适索引减少扫描量,优化查询语句避免全表扫描,分析查询执行计划,使用 Explain 工具,定期审查和重构慢查询,以及考虑存储引擎和硬件优化。可利用 mysqldumpslow 分析日志,定位问题进行针对性优化。
第41篇:Klocwork代码审计/代码扫描工具的使用教程
ABC_123的博客
01-01 5122
Part1 前言前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码...
klockwork培训手册
11-25
详细说明了klocwork的安装、管理等过程,以及C/C++、java、C#等程序分析方法和实例过程等。
Klocwork用户端使用指南_M.pdf
12-23
Klocwork 包括 Server Build 版本和 User Desktop 版本,可根据实际情况安装。安装可以 按照默认目录安装,也可以创建三个新的路径,如 C:\KW\8.1.2.10\server、C:\KW\8.1.2.10\pr 和 C:\KW\8.1.2.10\client,分别安装 Server 版,指定工程路径和 User 版,以方便命令行操作
Klocwork Solo
软件质量优化
08-17 3149
Klocwork今年早些时候发布了Klocwork Solo,针对JAVA的源代码分析工具。 Klocwork Solo takes Klocworks proven, enterprise-ready, static source code analysis technology and packages it for the individual Java developer. 
Klocwork10–windows安装教程
weixin_45913886的博客
12-20 4992
在第一个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\3rdparty\bin\lmgrd.exe。在第二个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\projects_root\licenses。选择C/C++语言,点击Add按钮,添加相应的文件,选择打开,
Klocwork Server端使用入门.pdf
12-23
连接到Klocwork服务器是联机应用工作流程中的可选步骤,也是应用Klocwork扩展功 能的关键步骤。在连接之前,集成工程必须已在Klocwork服务器上建立,并已经分析过。 集成工程的建立是本地工程与服务器进行同步的前提,集成工程的输入可以是构建说明文 件,可以是Microsoft Visual Studio的工程文件、解决方案或工作空间,还可以是已经生成 的table。
使用klockwork对xilinx SDK工程代码进行静态走查
strawberrypll的专栏
11-29 152
目前做的项目使用xilinx SDK进行软件开发,最近需要对代码进行静态走查,在调研了几款代码走查工具后,给出了一个走查xilinx SDK工程代码的解决方案。
KlocWork-TOOL
12-27
KlocWork
Java源代码分析软件Klockwork Solo发布
04-02
根据国外媒体报道,Klockwork公司发布了Klockwork Solo,这是一个可供人下载的Java静态源代码分析(SCA)工具,它可以准确地自动侦测到Java代码中的严重漏洞和安全隐患。而且,它还内建了对Android平台的支持。
klockwork 客户端在linux 系统中的安装
05-25
klockwork 客户端在linux 系统中的安装
klockwork使用手册 csdn
07-01
总而言之,CSDN 上的 Klockwork 使用手册是一个非常有价值的资源,能够帮助开发人员充分利用 Klockwork 工具进行静态代码分析,并提高软件质量和开发效率。用户可以通过全面的手册内容和丰富的实例,快速了解和掌握 ...
Docker容器使用指南:如何将Klocwork作为一个容器创建和运行
Trinity_Techologies的博客
03-22 1343
在这个Docker容器使用指南中,您将学习如何创建和运行Klocwork容器。 Docker的基本定义:一种流行的开源操作系统级虚拟化(通常称为“容器化”)技术,它是轻量级的,可移植的,主要在Linux和Windows上运行。Docker让使用容器创建、部署和运行应用程序变得更容易。
klocwork 2020.3安装使用过程
zxctty的博客
12-06 2548
klocwork 2020 1、安装过程略过,可查看2019的安装过程 2、web分析,存在漏报的问题,可能是规则选择不全 3、desktop分析 4、嵌入式环境插件分析 e-mail:lu1024lu@foxmail.com
Klocwork代码静态检查实践
热门推荐
黄河敏捷开发
05-03 1万+
Klocwork代码静态检查实践 笔者曾用过两年多的Klocwork,它通过静态分析的方法,自动检测代码内存泄漏、空指针引用、缓冲区溢出、数组越界等运行错误,相比一些免费的检查工具功能强大很多,对于项目代码质量的改进作用还是比较明显的。这里简单总结一下推广经验。 1. Klocwork工具介绍 Klocwork软件是Klocwork公司基于专利技术分析引擎开发的,综合应用了多种近年来最先进的...
SAST和DevOps/DevSecOps背景下最佳的静态代码分析器:Klocwork 2022.1 新增功能速递:Kotlin 分析引擎 | 项目流 | 性能 | C/C++ 分析引擎 | 编码标准
Polelink北汇信息的博客
05-04 538
**Klocwork 2022.1** 将 Kotlin 作为一种新的受支持分析语言推出,提供了扫描 Kotlin 代码以查找与复杂性、质量、性能、最佳编码实践等相关的问题的能力。此版本还为大型 C/C++ 项目提供了高达 35%* 的性能改进,并对项目流进行了软件质量更新。此外,该版本还包括更广泛的编码标准覆盖范围,以及针对 C/C++的一般分析和准确性改进。(基于内部基准的开源软件项目)
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值