Klocwork工具應(yīng)用了靜態(tài)分析技術(shù)，可實(shí)現(xiàn)對(duì)C、C++、Java、C#、python等代碼的全面靜態(tài)分析。檢查問(wèn)題種類既包含軟件質(zhì)量和安全缺陷相關(guān)，也可實(shí)現(xiàn)多種語(yǔ)言編碼規(guī)則規(guī)范的檢查。通過(guò)使用Klocwork，可以幫助開(kāi)發(fā)人員能夠在開(kāi)發(fā)早期檢測(cè)到程序可能存在的缺陷和漏洞，在開(kāi)發(fā)過(guò)程中即可提升代碼安全可靠性，確保代碼質(zhì)量可控。

功能及特點(diǎn)

在開(kāi)發(fā)階段使用klocwork開(kāi)展靜態(tài)分析，立足程序安全性角度進(jìn)行測(cè)試，有利于盡早發(fā)現(xiàn)和修復(fù)安全性相關(guān)問(wèn)題，并確保代碼符合國(guó)際公認(rèn)的編碼標(biāo)準(zhǔn)。

主要功能

DevSecOps：Klocwork可以集成到CI/CD工具、容器、云服務(wù)等，便于實(shí)現(xiàn)自動(dòng)化測(cè)試流程

編碼規(guī)范檢查：支持CWE、OWASP、CERT、ISO/IEC TS 17961、MISRA C 2012、AUTOSAR C++等多種常見(jiàn)行業(yè)規(guī)范的檢查

缺陷檢查：SQL注入、溢出、可靠性低等問(wèn)題

代碼bug檢查：空指針解引用、內(nèi)存泄漏等問(wèn)題

與開(kāi)發(fā)過(guò)程集成

Klocwork在設(shè)計(jì)時(shí)首先考慮了CI/CD，方便用戶將Klocwork分析代碼作為CI/CD一部分，可以做到：

差異分析：通過(guò)Klocwork Server上的數(shù)據(jù)，在整個(gè)項(xiàng)目分析完成后，可以只分析更改的文件，提供差異分析結(jié)果，節(jié)約分析時(shí)間

易于自動(dòng)化：Klocwork工具有通用的命令行接口，Klocwork檢測(cè)結(jié)果數(shù)據(jù)可以通過(guò)REST API訪問(wèn)，所有輸出格式都使用標(biāo)準(zhǔn)格式，例如XML、JSON和PDF等

容器化構(gòu)建：Klocwork支持在容器化和云構(gòu)建系統(tǒng)中運(yùn)行，為使用內(nèi)部或外部的云服務(wù)進(jìn)行代碼分析提供靈活的操作

項(xiàng)目管理和報(bào)告輸出

Klocwork Portal是一個(gè)集中存儲(chǔ)分析數(shù)據(jù)、度量和分析配置的工具，支持不同人員通過(guò)web瀏覽器訪問(wèn)。

Klocwork Poratl界面是高度可定制的，允許開(kāi)發(fā)人員、管理人員和其他相關(guān)人員操作：

配置全局或特定于某項(xiàng)目的規(guī)則

控制不同人員的訪問(wèn)權(quán)限

查看項(xiàng)目質(zhì)量的趨勢(shì)和度量數(shù)據(jù)

生成合規(guī)的報(bào)告

基于嚴(yán)重程度、位置和生命周期確定缺陷優(yōu)先級(jí)

區(qū)分新問(wèn)題和遺留問(wèn)題

面向開(kāi)發(fā)人員

Klocwork與開(kāi)發(fā)工具無(wú)縫集成，將缺陷檢測(cè)流程提前到開(kāi)發(fā)階段，提高了開(kāi)發(fā)人員的產(chǎn)出效率及質(zhì)量：

無(wú)需用戶配置編譯器：Klocwork為數(shù)百個(gè)編譯器和交叉編譯器提供了開(kāi)箱即用的支持，可以方便地與編譯器集成

與IDE集成：支持常見(jiàn)IDE的插件（VS，Eclipse，IntelliJ等），可直接集成到IDE中，代碼修改后，在IDE插件提供差異分析結(jié)果

詳細(xì)的幫助文檔：缺陷和編碼違反是根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度確定的，對(duì)于每個(gè)缺陷和編碼違規(guī)，可以查看幫助文檔，為理解缺陷和違規(guī)提供幫助

自定義規(guī)則：為了更高級(jí)的需求，工具提供了用戶自定義規(guī)則的接口，支持用戶根據(jù)實(shí)際需要自定義檢查規(guī)則

架構(gòu)分析：可與Structure 101集成，使用戶了解項(xiàng)目架構(gòu)，提高項(xiàng)目可維護(hù)性

支持的編碼規(guī)范

應(yīng)用行業(yè)

汽車行業(yè)

能源技術(shù)行業(yè)

醫(yī)療服務(wù)行業(yè)

嵌入式開(kāi)發(fā)

認(rèn)證

Klocwork支持的功能安全標(biāo)準(zhǔn)：ISO 26262（汽車）、IEC 61508（一般工業(yè)）、EN 50128（軌交）、IEC 62304（醫(yī)療）

經(jīng)緯恒潤(rùn)通過(guò)與IBM、Dassault、ANSYS等知名工業(yè)軟件廠商合作，為用戶提供汽車電子領(lǐng)域數(shù)十種研發(fā)工具，并通過(guò)在研發(fā)流程、建模仿真、測(cè)試驗(yàn)證、平臺(tái)建設(shè)等領(lǐng)域的定制開(kāi)發(fā)和技術(shù)服務(wù)，助力用戶實(shí)現(xiàn)研發(fā)的流程化、數(shù)字化、智能化和平臺(tái)化，提升產(chǎn)品研發(fā)效率和市場(chǎng)競(jìng)爭(zhēng)力。

原文標(biāo)題：Klocwork — 符合功能安全要求的自動(dòng)化靜態(tài)測(cè)試工具

文章出處：【微信公眾號(hào)：經(jīng)緯恒潤(rùn)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：湯梓紅