Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。Coverity 是一款精确的综合静态分析与应用安全测试 (SAST) 平台,它可以在编写代码时发现关键的缺陷和安全缺陷,防止它们变成安全漏洞、故障或维护缺陷。
1. 概述
Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。
在编写代码时,Coverity尽早识别关键的软件质量缺陷和安全漏洞。在开发过程中,当它成本最低且最容易修复时。精确的可操作修复建议和特定于上下文的 eLearning 可以帮助开发人员了解如何快速修复他们的优先级问题,而不必成为安全专家。Coverity无缝地将自动化安全测试集成到您的CI/CD管道中,并支持您现有的开发工具和工作流。
Coverity为应用程序在不同软件开发生命周期(SDLC)阶段的风险态势的整体视图。
安全团队可以查看整个应用程序组合的集中风险概要。其中通过API访问允许将结果导入到其他风险报告工具中。
可以按类别过滤已识别的漏洞,查看趋势报告,基于关键度对漏洞进行优先补救,并跨团队和项目管理安全策略合规(例如OWASP Top 10, CWE Top 25,和PCI DSS)。
“随时间变化的问题”报告显示不同时间段的严重程度,并为您提供有关项目安全状况的即时信息。PDF报告下载允许审核员维护详细的合规记录。
对于代码开发人员,使用Coverity能够帮助您找出代码中的严重缺陷。Coverity的代码分析功能可以全天候检查每一行代码。Coverity先进的静态分析算法可以检测出每种编程语言所特有的严重缺陷。作为开发者的您可以节省不少寻找漏洞的时间,进一步投入到软件开发中。
1.精确
Coverity的特别之处在于查找精确。当许多其他的源代码分析产品以很高的误报率使得其不可用时,Coverity的虚假路径裁剪、统计分析和其它创新减少了误报的产生。附加的配置和微调能够进一步减少误报率。
2.速度
Coverity能够快速对源代码进行分析,不需要写测试用例。每千行代码的平均分析速度仅为10秒钟,百万行的代码仅需要1个小时,其他的工具需要几天,甚至几个星期来分析大规模代码。
3.深度
Coverity提供过程间数据流分析和统计分析,评审整个程序的交互和所有的可能的路径,可达100%的路径分析。Coverity检查企业特定的APIs和标志使用中的不一致性,精确的检测Coverity、安全评审和现场会发生的缺陷。
4.广度
Coverity采用查找最严重的错误的最先进的技术,提高您的产品的质量和安全性。Coverity可以检测广泛的严重缺陷,例如系统崩溃、内存泄漏、内存错误、不确定行为、并发缺陷和安全性问题。
Coverity Static Analysis (也称Prevent)是检测和解决C、C++、Java和C#源代码中最严重的缺陷的领先的自动化方法。通过对您的构建环境、源代码和开发过程给出一个完整的分析,Prevent建立了获得高质量软件的标准。
