使用Klockwork进行代码分析简单操作流程

最新推荐文章于 2024-01-16 15:27:35 发布
最新推荐文章于 2024-01-16 15:27:35 发布
阅读量2.5w 收藏 40
点赞数
分类专栏: Test tools 文章标签: Klockwork
  前一段时间公司试用了一下klockwork公司的klockwork代码静态分析软件,我所在项目组进行了试点,试用后感觉不错,有几大亮点:

        1)对代码进行静态分析,无需改动任何源码文件;

        2)分析出来的缺陷问题准率比较高。根据我使用情况来看,达到90%以上;

        3)针对问题的描述非常清晰,有详细的问题产生流程(具体每一步骤所涉及的源代码文件、行数),基本上一看就清楚问题的产生来源;

        4)具备跨文件/模块的分析能力(这一点对于大型项目尤其重要)。

        当然,目前为止我也只是试用了该软件关于问题缺陷的分析功能,还有很多高级功能没有用到。以下针对该软件的安装及简单使用进行说明。

        Linux系统软件安装及操作:

        1)安装服务端程序:

      ./kw-server-installer.9.2.1.7276.linux.sh -i /usr/local/kwserver –a

      -i选项设置安装目录,-a不打印授权协议信息

      注意:必须以普通用户进行服务端程序的安装。

2)拷贝license文件到安装目录下的prjects_root/licenses目录;

3)启动klockwork软件:  
             /usr/local/kwserver/bin/kwservice -r /usr/local/kwserver/projects_root/ start
             Klockwork软件自带了mysql数据库,其启动时也会进行数据库的启动,可能造成其自带数据库端口号与系统数据库端口号冲突,此时通过如下命令进行数据库端口号的修改:
             /usr/local/kwserver/bin/kwservice –r /usr/local/kwserver/projects_root/ set-service-property database port 3310
            如上命令将数据库缺省的3306端口改为3310。

     注意:以上命令只能由普通用户执行(非root用户)。

4)代码静态分析:

     a)采集程序信息
                 进入软件项目目录,运行如下命令采集程序信息(第一次运行该命令必须保证完整make):

          /usr/local/kwserver/bin/kwinject -o xxx.out make

          其中,xxx.out为所采集程序信息的输出文件,为避免遗忘,名称与项目名称一致。

     b)建立静态分析工程:
                 /usr/local/kwserver/bin/kwadmin create-project xxx --language c,cxx

         其中,xxx为静态分析工程名称(即分析结果项目名称)。c,cxx表示该工程为C/C++工程(当前支持c,cxx,java,csharp,多种语言中用“,”分隔)。可通过如下命令查看当前存在的工程:/usr/local/kwserver/bin/kwadmin list-projects。

      c)对代码进行静态分析:
                  /usr/local/kwserver/bin/kwbuildproject -f -o ./table1 xxx.out

          其中,-f表示强制进行项目的build,即使目标目录中已经存在上次build后的数据。 -o设置分析结果目录,./table1为静态分析结果数据的存放目录,可以根据需要进行修改。xxx.out为前述生成的静态分析工程名称。如果一个项目涉及多个静态分析工程,则多个工程间用空格进行分隔。

      d)加载分析结果:
                  /usr/local/kwserver/bin/kwadmin load xxx ./table1/

          其中,xxx为静态分析工程名称,./table1为静态分析结果数据目录。

5)通过http://xxx.xxx.xxx.xxx:8080地址查看以上静态分析结果,其中xxx.xxx.xxx.xxx为klockwork服务器地址,截图如下:

    

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 

使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客

 Windows系统软件安装及操作:
1)运行服务端安装程序,期间自动安装所需要的Java 2 SE Runtime Environment 6u22及相应的.Net Framework;
2)安装过程说明:
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
  
      该目录存放服务器数据(含License文件)
 
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
 
      缺省的服务器端口为8080,数据库端口为3306,License服务器端口为27000。
3)安装完成后,通过菜单的“Start Klockwork Servers”菜单项进行启动,然后运行Klockwork Management Console进行操作;
4)代码静态分析流程:
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
      a)如上图,通过klockwork management console的File菜单New Project菜单项建立新工程,在新工程窗体中选中C,C++语言。注意:C/C++语言不能与C#语言同时选中。
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
        b)如上图,选择代码工程,选择源代码文件编码格式;
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
       c)如上图,选择所有选项,以保证分析结果更详细;
 
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
       d)如上图, 新建立的工程如上图所示,选中该工程,点击右键菜单的“Build”菜单进行工程的代码静态分析;
使用Klockwork进行代码分析简单操作流程 - china.ygw - ^_^ china.ygw的博客
        e)如上图, 显示Build进度,indow自动将Linux系统中的多个分析步骤集成于一体,只需要简单的Build就完成一切。

当然,klockwork软件有服务端与客户端之分,以上只针对最简单方式进行说明。
 
zm_21
关注
  • 0
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
关于代码检查工具klockwork 的安装部署
百川汇海
01-09 1万+
本次测试安装版本V10. 1、安装 使用普通用户,test 在/opt下创建目录, mkdir /opt/kw chown test:test /opt/kw 如果安装client端,则 mkdir /opt/kw-user chown test:test /opt/kw-user test用户执行安装程序。 ./kw-server-installer.9.6.4.1180
klocwork操作步骤 以及介绍
07-17
Klocwork 介绍 Klocwork - 源代码缺陷自动分析工具概述:Klocwork 软件是 Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来 最先进的静态分析技术,是出色的软件静态分析软件。Klocwork 产品与其它同类产品相比, 具有很多突出的特征:Klocwork 支持的语言种类多,能够分析 C、C++和 Java 代码;能够发 现的软件缺陷种类全面,既包括软件质量缺陷,又包括安全漏洞方面的缺陷,还可以分析对软 件架构、编程规则的违反情况;软件分析功能全面,既能分析软件的缺陷,又能进行可视化的 架构分析、优化;能够分析软件的各种度量;能够提供与多种主流 IDE 开发环境的集成;能 够分析超大型软件(上千万代码行)。主要功能: 缺陷检测提供多角度的各种缺陷类型的分析。自动化的缺陷检测功能易于使用,定制灵活,具有图 形化的构建和报表管理图形界面,拥有业界领先的消息过滤器,极具柔性的配置,和强大的学 习调整知识库;Klocwork 能够分析 C/C++和 Java 代码,生成代码问题报告,能够发现的缺陷 类型举例。(详细参见附录): C/C++缺陷类型样例 空指针释放 内存管理问题(如:内存泄漏) 数组越界 未初始化数据使用 编码风格问题(如:在条件中赋值) Java 缺陷类型样例 效率错误(如:空的 finalize 方法) 可维护性问题(如:空的 catch 从句) 可靠性问题(如资源泄漏) 安全漏洞检测Klocwork 确信软件安全性是软件质量中一个重要的、并越来越受重视的方面。同样的, 所有的 Klocwork 安全漏洞分析是基于市场领先的缺陷检测能力,从原来的缺陷检测分离出来 单独的安全漏洞检测和违反推荐的安全代码最佳实践的缺陷检测。 能够检测到的安全漏洞类型 举例(详细参见附录) C/C++安全漏洞分类 访问控制缺陷 缓冲区溢出 DNS 欺骗 忽略返回值 注入缺陷 不安全的存储 未经验证的用户输入 Java 安全漏洞分类 拒绝服务 注入缺陷(如:SQL 注入、进程注入等) 未经验证的输入 移动代码安全 有漏洞的会话管理 跨站点脚本 出错处理不当
klockwork培训手册
11-25
详细说明了klocwork的安装、管理等过程,以及C/C++、java、C#等程序分析方法和实例过程等。
第41篇:Klocwork代码审计/代码扫描工具的使用教程
ABC_123的博客
01-01 4601
Part1 前言前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码...
使用KlockWork+GitLab实现静态分析安全测试
weixin_49715102的博客
09-14 1147
Gitlab是一款涵盖整个DevOps生命周期的集成解决方案。此外,KlockWork是一款能够优化DevSecOps生命周期的静态代码分析器,例如CI/CD Pipelines。当你同时使用GitLab和KlockWork这两款工具的时候,它们可以为开发团队提供强大的GitLab SAST解决方案。在这里,我们将解释Klocwork和GitLab集成的优秀之处。 GitLab是什么 GitLab是一款基于Web应用 的DevOps生命周期的工具,它为wiki、问题追踪和CI/CD 流水线功能提供了Git仓
Oracle官方培训文档
08-14
Oracle官方培训文档,Oracle公司 也提供应用系统; 我们涉及的是数据库管理系统DBMS(多用户系统); 数据库操作语言SQL——结构化查询语言; SQL操作对象为 DB中的数据,表现形式为——库和表。 Oracle用表管理表:
klocwork10安装及使用
weixin_40593654的博客
08-01 2741
Klocwork是一款广泛使用的静态代码分析工具,用于发现和修复软件代码中的缺陷、潜在漏洞和安全问题。它可以在早期阶段自动化地检测和报告代码中的错误,从而帮助开发团队提高代码质量、可靠性和安全性。
Klocwork10–windows安装教程
weixin_45913886的博客
12-20 4279
在第一个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\3rdparty\bin\lmgrd.exe。在第二个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\projects_root\licenses。选择C/C++语言,点击Add按钮,添加相应的文件,选择打开,
五大理由告诉你为什么开发人员选择代码质量静态分析工具Klocwork来实现软件安全
weixin_49715102的博客
08-05 349
Klocwork是为企业DevOps平台和DevSecOps平台而专门设计的,是首选的静态分析和静态应用安全测试(SAST)工具,能够保证开发人员的开发速度,同时还能确保软件开发安全性与合规性。以下我们将为您分析开发人员选择Klocwork的五大理由。......
Klocwork部署的安全最佳实践
weixin_49715102的博客
07-11 1306
在安装任何基于web的应用程序时,都必须遵循安全最佳实践。本文概述了设置Klocwork步骤,这是一款静态分析和SAST工具,旨在实现安全操作。Klocwork通常本地部署,并且位于防火墙之后。如有可能在互联网上暴露任何内容,则需采取额外的预防措施。......
Klocwork用户端使用指南_M.pdf
12-23
Klocwork 包括 Server Build 版本和 User Desktop 版本,可根据实际情况安装。安装可以 按照默认目录安装,也可以创建三个新的路径,如 C:\KW\8.1.2.10\server、C:\KW\8.1.2.10\pr 和 C:\KW\8.1.2.10\client,分别安装 Server 版,指定工程路径和 User 版,以方便命令行操作
Java源代码分析软件Klockwork Solo发布
04-02
根据国外媒体报道,Klockwork公司发布了Klockwork Solo,这是一个可供人下载的Java静态源代码分析(SCA)工具,它可以准确地自动侦测到Java代码中的严重漏洞和安全隐患。而且,它还内建了对Android平台的支持。
klockwork 客户端在linux 系统中的安装
05-25
Klockwork 是一款静态代码分析工具,能够帮助开发者检测代码中的漏洞和问题。在 Linux 系统中安装 Klockwork 客户端需要经过多个步骤,下面将详细介绍每个步骤操作步骤 1: 解压 Klockwork 安装包 在 Linux ...
Klocwork安装
旮旯
11-19 8743
简单介绍一下Klocwork在windows下的安装,操作系统是win7,Klocwork的版本是10.0。 第一步:由于Klocwork的安装程序已十分成熟,所以在安装之前不需要什么准备共走。双击Klocwork的安装包,会出现下图的安装引导界面,点击Next按钮。 第二步:下图是协议界面,点击Next按钮。 第三步:选择Klocwork的安装目录,点击Next按钮 第四步:
Klocwork代码静态检查实践
热门推荐
黄河敏捷开发
05-03 1万+
Klocwork代码静态检查实践 笔者曾用过两年多的Klocwork,它通过静态分析的方法,自动检测代码内存泄漏、空指针引用、缓冲区溢出、数组越界等运行错误,相比一些免费的检查工具功能强大很多,对于项目代码质量的改进作用还是比较明显的。这里简单总结一下推广经验。 1. Klocwork工具介绍 Klocwork软件是Klocwork公司基于专利技术分析引擎开发的,综合应用了多种近年来最先进的...
Klocwork 静态代码检查工具
个人学习记录
08-29 5852
官网:http://www.klocwork.com/   Klocwork功能包括: 
Klocwork—符合功能安全要求的自动化静态测试工具
经纬恒润的官方博客
01-16 795
Klocwork是Perforce公司产品,主要用于C、C++、C#、Java、 python和Kotlin代码的自动化静态分析工作,可以提供编码规则检查、代码质量度量、测试结果管理等功能。Klocwork可以扩展到大多数规模的项目,与大型复杂环境、各种开发工具集成,并提供控制、协作和报告。Klocwork提供即时的分析结果,同时保持准确性,并支持CI/CD、容器、云服务和机器配置集成,进行自动化测试,保护您的软件在每次提交时免受漏洞的伤害。
Klocwork 代码静态分析工具
旋极智能的博客
03-25 2250
“借助Klocwork,我们能够比传统的手动分析和测试更快发现可能遗漏的问题。这使我们能够交付出引以为傲的高质量软件,并满足客户的期望。” — SCM系统工程经理 Klocwork 简介 Klocwork是针对C,C ++,C#和Java编程语言的最准确的代码分析器之一。它是一款现代化的敏捷静态代码分析工具,可扩展到任何规模的项目,并在DevOps周期内有效运行。此外,它还通过了TÜV-SÜD的功...
基础作品制作思路.mp4
最新发布
07-09
klockwork使用手册 csdn
07-01
### 回答1: Klockwork 是一种静态代码分析工具,它可以帮助开发人员在编写代码时发现潜在的错误和安全隐患。对于那些需要高质量代码的软件项目来说,使用 Klockwork 手册是非常有价值的。 CSDN(博客)上有一份 Klockwork 使用手册,它提供了详细的指导和教程,帮助用户充分利用 Klockwork 工具来改善代码质量。手册包含以下几个方面的内容。 首先,手册介绍了 Klockwork 的基本使用方法,包括如何下载、安装和配置 Klockwork,以及如何将其与常见的集成开发环境(IDE)集成,如 Eclipse、Visual Studio 等。用户可以根据实际需求选择合适的集成方式。 其次,手册详细介绍了 Klockwork 的常见功能和工作原理。例如,它可以检测出代码中可能导致内存泄漏、空指针引用和未初始化变量等错误。它还提供了自定义规则的功能,使开发人员可以根据项目需求定义自己的代码规范和检查规则。 手册还提供了一些实用的示例和建议,帮助用户更好地理解和使用 Klockwork。例如,如何针对特定的开发语言或应用场景进行配置,以及如何解读并处理工具生成的分析结果报告。 最后,手册介绍了 Klockwork 的一些高级功能,如与持续集成工具的集成、多用户协作和定制化错误报告等。这些功能能够进一步提高代码质量和开发效率。 总而言之,CSDN 上的 Klockwork 使用手册提供了详尽的文档和指导,帮助开发人员更好地使用和利用 Klockwork 工具来改善软件项目的代码质量,提高开发效率。无论是初学者还是有经验的开发人员,都可以从中获得巨大收益。 ### 回答2: CSDN 是一个面向 IT 从业者的社区平台,提供了丰富的技术知识和资源,包括 Klockwork 使用手册。Klockwork 是一款静态代码分析工具,旨在帮助开发人员提高软件质量,发现和修复代码中的潜在问题。 在 CSDN 上查阅 Klockwork 使用手册,用户可以学习到如何正确安装和配置 Klockwork 工具,并了解其各种功能和用法。手册涵盖了从静态代码分析到问题排查和解决方案的完整流程。 手册首先介绍了 Klockwork 的基本概念和目标,以及它与其他代码分析工具的区别。然后详细说明了如何在不同的开发环境中正确安装和配置 Klockwork,包括与 IDE 的集成和与版本控制系统的配合使用。 接下来,手册重点介绍了 Klockwork 的静态代码分析功能,包括代码风格检查、内存泄漏检测、空指针引用检查等。它详细说明了如何使用 Klockwork 的命令行工具或集成到 IDE 中进行代码分析,并解释了报告中不同类型问题的意义和修复建议。 此外,手册还介绍了 Klockwork 提供的高级功能,如多版本分析、自定义规则和结果过滤等。它还提供了一些实际案例和最佳实践,帮助用户更好地理解和应用 Klockwork。 总而言之,CSDN 上的 Klockwork 使用手册是一个非常有价值的资源,能够帮助开发人员充分利用 Klockwork 工具进行静态代码分析,并提高软件质量和开发效率。用户可以通过全面的手册内容和丰富的实例,快速了解和掌握 Klockwork使用方法和技巧。 ### 回答3: Klockwork使用手册是一份非常有用的技术文档,适用于那些希望使用Klockwork静态代码分析工具来提高代码质量和可靠性的开发人员。这份手册提供了详细的指导,帮助用户了解Klockwork的基本原理、安装和配置过程以及使用方法。 首先,手册介绍了Klockwork的原理和优势。它解释了静态代码分析的概念,以及如何通过Klockwork来检测和修复代码中的潜在问题,例如空指针引用、内存泄漏和竞态条件等。 接下来,手册重点介绍了Klockwork的安装和配置过程。它提供了逐步的指导,让用户能够在自己的开发环境中成功安装和设置Klockwork。用户可以根据自己的需求选择不同的配置选项,以及与其它开发工具的集成方式。 然后,手册详细讲解了Klockwork使用方法。它介绍了如何通过Klockwork进行代码分析和检查,并解释了分析结果的含义。用户可以学习如何按照优先级对问题进行排序和管理,并通过Klockwork提供的建议和修复方案来解决这些问题。 最后,手册还包括了一些常见问题和解决方案,以及一些实际案例的讲解。这些案例演示了如何在真实的项目中使用Klockwork来改进代码质量和可维护性,帮助用户更好地理解和应用Klockwork的能力。 总之,Klockwork使用手册是一个很有价值的资源,对于希望使用Klockwork静态代码分析工具的开发人员来说,它提供了一个很好的起点。通过学习和遵循手册中的指导,开发人员可以轻松地将Klockwork集成到他们的开发流程中,从而提高代码质量、减少潜在问题,并增强代码的可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值