Coverity代码静态安全扫描⼯具:认识Coverity
【摘要】 Coverity是⼀款快速、准确且⾼度可扩展的静态分析 (SAST) 解决⽅案,可帮助开发和安全团队在软件开发⽣命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应⽤组合的风险,并确保符合安全和编码标准。
1. 概述
Coverity是⼀款快速、准确且⾼度可扩展的静态分析 (SAST) 解决⽅案,可帮助开发和安全团队在软件开发⽣命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应⽤组合的风险,并确保符合安全和编码标准。
在编写代码时,Coverity尽早识别关键的软件质量缺陷和安全漏洞。在开发过程中,当它成本最低且最容易修复时。精确的可操作修复建议和特定于上下⽂的 eLearning 可以帮助开发⼈员了解如何快速修复他们的优先级问题,⽽不必成为安全专家。Coverity⽆缝地将⾃动化安全测试集成到您的CI/CD管道中,并⽀持您现有的开发⼯具和⼯作流。
Coverity为应⽤程序在不同软件开发⽣命周期(SDLC)阶段的风险态势的整体视图。
安全团队可以查看整个应⽤程序组合的集中风险概要。其中通过API访问允许将结果导⼊到其他风险报告
⼯具中。
可以按类别过滤已识别的漏洞,查看趋势报告,基于关键度对漏洞进⾏优先补救,并跨团队和项⽬管理安全策略合规(例如OWASP Top 10, CWE Top 25,和PCI DSS)。
“随时间变化的问题”报告显⽰不同时间段的严重程度,并为您提供有关项⽬安全状况的即时信息。PDF报告下载允许审核员维护详细的合规记录。
1.1 ⽬录结构
Linux系统下的Coverity 发布包,其顶层⽬录结构如下:
.
├── bin
├── brakeman-pro
├── build.py
├── certs
├── closure-compiler
├── config
├── doc
├── dotnet
├── dtd
├── dynamic-analysis
├── eagleye.py
├── forcheck
├── HIS
├── jars
├── jdk11
├── jre
├── jshint
├── lib
├── library
├── locale
├── node
├── python3.4
├── ruby
├── spotbugs
├── spotbugs-ext
├── support-angularjs
├── template-da
├── uninstall
├── VERSION
├── l
├── xsl
└── yarn
windows系统下的Coverity 发布包,其顶层⽬录结构如下:
2. 集成⽣态2.1 端侧IDEs
Code Sight™ IDE插件,开发⼈员在编写代码时可以在⼏秒钟内得到准确的分析。它快速准确的增量
分析在后台运⾏,以尽量减少⼲扰,直接在 IDE 内为开发⼈员提供实时结果,包括缺陷描述、类别、严重性、CWE信息、缺陷位置、详细的修复建议、数据流跟踪信息,以及IDE中的问题分类和管理功能。相关插件的下载地址:
Visual Studio插件
Intellij IDEA|WebStorm|PyCharm|PhpStorm|RubyMine 插件
Eclipse插件
Visual Studio Code
2.2 版本控制
Accurev、ClearCase、CVS、GIT、Mercurial、Perforce、Plastic、SVN和Team Foundation Server
2.3 Ticketing系统
Jira
Bugzilla
2.4 持续集成/持续部署
Jenkins
Azure DevOps Server
2.5 构建⼯具
在操作系统流程层次监测您的构建系统来获得每⼀个操作的清晰视图,展现您的软件。
Gradle/Ant/Maven/CMake/Make等
2.6 合作伙伴集成
REST api可⽤于⽀持其他构建⾃动化解决⽅案,以及将分析结果导⼊其他企业或⾃定义⼯具。
3. 检查能⼒
3.1 ⽀持的语⾔
Coverity为 21 种语⾔提供⼴泛的安全和质量检查⽀持。
3.2 ⽀持的框架
Coverity⽀持Java、JavaScript、c#和其他语⾔的70多个不同框架。Coverity还⽀持与AWS服务(EC2, S3, DynamoDB, IAM)和⾕歌云存储API (GCP)交互的云本地JavaScript应⽤程序的主要云提供商API框架的安全建模。
语⾔Framework Framework Framework Framework
Java Android SDK GWT Vert.x JSP and JSP Standard Tag Library(JSTL)
Java Apache Shiro Hibernate JAX RS ReactiveX (RxJava, Reactor)
Java Axis iBatis JAX WS Enterprise Java Beans (EJBs)
Java DWR Java
Frameworks
JEE Java Persistence API (JPA)
Java Restlet Spring Boot JSF/Facelets Spring Framework
Java Struts Terasoluna Tiles Javax.websocket
Java WS XML-RPC
C#ASP.NET Web Forms Identity Server MassTransit ASP.NET Core MVC/ASP.NET MVC
C#ASP.NET ASMX Web
Services
Razor
templates
WCF
Services
ASP.NET Core MVC/ASP.NET MVC
JS/TS:Client-side Angular Apache
Cordova
Bootstrap HTML5 DOM APIs/Ajax
JS/TS:Client-side Angular JS Backbone Ember React/ Preact JS/TS:Client-side jQuery Mithril Socket.IO Swig
JS/TS:Client-side Vue
JS/TS:Server-side Express Fastify Hapi Angular server-side rendering (Express and Hapi engines)
JS/TS:Server-side Koa Mean.io Node React server-side rendering (Next.js) JS/TS:Server-side Passport Restify Socket.IO SAP XS Classic and Advanced
JS/TS:Server-side Vue server-side rendering
JS/TS:Template
engines
shiro安全框架Consolidate doT.js EJS Handlebars
JS/TS:Template
engines
Hogan Jade koa-views Lodash (templating)
JS/TS:Template
engines
Marko Mustache Nunjucks Pug
JS/TS:Template
engines
Swig Twig Vision Underscore (templating)
JS/TS:Major libraries Axios Request Sequelize Google Cloud APIs (Storage)
JS/TS:Major libraries Underscore / Lodash Swashbuckle Sqlx Mongoose / MongoDB
GO Echo
PHP Symfony
Python Flask Django
Ruby Ruby on Rails
3.3 ⽀持的平台

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。