CodeSonar静态分析工具

CodeSonar 是一种静态代码分析解决方案,可帮助您查找和了解源代码或二进制文件中的质量和安全缺陷。CodeSonar 可以轻松地将 SAST 集成到您的开发过程中,支持 100 多个编译器和编译器版本,与流行的开发工具和 IDE 进行大量集成,以及发现其他工具遗漏的问题的整个程序分析。


开发安全运营

以创新的速度交付安全的软件

软件开发团队不断被要求用更少的资源在更短的时间内交付更复杂的软件系统。安全性为软件开发增加了新的成本、复杂性和风险。为了解决这个问题,DevSecOps 改进了 DevOps 管道,使安全性成为开发过程的关键部分。


软件组织不会故意忽略安全性,但除非它是开发文化的一部分,否则它就不会完成。不幸的是,您最终无法“附加”安全性。


让安全成为 DevOps 管道的一部分需要仔细的规划、专业知识和正确的自动化支持。


让安全变得简单、准确

左移学院

首先,这是一项安全举措,因此选择将安全放在首位的测试软件势在必行。CodeSonar 被公认为具有最高召回率和精确度的 SAST 安全领导者,您可以放心,确实在您的自定义或源代码中发现了漏洞。GrammaTech CodeSentry 允许安全专业人员快速轻松地测量和管理与第三方软件相关的风险。


超出开发者的期望

不要放慢速度

开发商接受是关键

检测安全漏洞的关键时刻是开发人员编写代码后,甚至在提交构建之前。CodeSonar 立即在开发人员的 IDE 中呈现这些漏洞,就像编译器警告一样,提供简单且可操作的纠正措施(例如漏洞评估、根本原因以及控制和数据流跟踪)尽管在改进安全实践方面取得了进展,但大多数漏洞都是编码错误,事实上,70% 的安全漏洞是由内存管理漏洞引起的——缓冲区溢出写入,或更复杂的污染数据暴露。


消除操作摩擦

工具集成 – 独自一人并不有趣

您最不想要的就是不与现有工具集集成的独立单点解决方案。CodeSonar 旨在集成到持续集成和部署工作流程以及开发人员 IDE 中。开箱即用地提供了对许多团队工具的支持,包括 Jenkins、Visual Studio、GitHub、GitLab 等。查看 支持的 IDE 的完整列表。


以创新的速度交付安全、可靠且合规的软件

安全关键软件在从基础到高度复杂的系统中发挥着至关重要的作用,从公共供水系统中的基本伺服驱动等应用到最新一代汽车中的防撞系统再到机器人手术系统。软件作用的增加意味着对软件开发实践和将这些实践中的最佳实践编纂成法的行业标准进行更严格的审查。



满足功能安全认证

鉴于软件在关键任务和安全关键应用中的使用不断增加,软件遵循指定开发人员应如何编写代码以提高其可读性和可靠性的标准至关重要。CodeSonar 可自动检测和预防关键软件缺陷。一些用例包括:


IEC 61508 –电气/电气/可编程电子安全相关系统的功能安全

ISO 26262(汽车软件)—— 道路车辆功能安全

DO 178C / DO 330(机载系统) –机载系统和设备认证中的软件注意事项/软件工具资格注意事项

IEC 62443(工业系统)——工业自动化和控制系统的安全

IEC 62304 / ISO 13485(医疗设备) –医疗设备软件 – 软件生命周期管理/医疗设备 – 质量管理系统。监管要求

EN 50128(铁路系统)——铁路应用。通信、信号和处理系统。铁路控制和保护系统软件

确保编码标准合规和执行

这些功能安全标准的核心是安全可靠的编码。静态分析是支持所有标准的关键能力。静态分析简化了跨团队编码标准的实施,提高了所需认证标准的整体合规性以及代码质量。GrammaTech 支持以下标准:


 AUTOSAR(汽车开放系统架构)

DISA-STIG(安全技术实施指南)

ISO/IEC TS 17961(C 安全编码规则技术规范)

JPL十的力量(美国宇航局喷气推进实验室)

MISRA(汽车工业软件可靠性协会)

MITRE CWE(常见弱点枚举)

OWASP(开放全球应用程序安全项目)

SEI CERT(软件工程学院计算机应急响应小组)


支持的语言

CodeSonar 支持许多流行语言,包括 C/C++、Java 和 C#,并支持 Intel 和 ARM 指令集架构中的本机二进制文件。CodeSonar 还支持 OASIS SARIF 与 DevSecOps 环境中的其他工具交换信息。


CodeSonar 的差异

GrammaTech 的静态应用安全测试技术有何优势?



安全

广泛覆盖安全漏洞,包括 OWASP Top10、SANS/CWE 25 和 SEI CERT C/C++。通过字节码分析支持第三方应用程序。



质量

集成到 DevSecOps 中以提高代码质量和开发人员效率。快速查找代码质量和性能问题。



可扩展性

当涉及众多项目和全球团队的数百万行代码时,满足苛刻的可扩展性要求。