Klocwork

Was ist das Klocwork?

Klocwork ist ein statisches Code-Analyse- und SAST-Tool für C, C++, C#, Java, JavaScript, Python und Kotlin, das Sicherheits-, Qualitäts- und Zuverlässigkeitsprobleme in der Software identifiziert und so die Einhaltung von Standards unterstützt. Entwickelt für Enterprise DevOps und DevSecOps, skaliert Klocwork für Projekte jeder Größe, integriert sich in große komplexe Umgebungen, eine breite Palette von Entwickler-Tools und bietet Kontrolle, Zusammenarbeit und Berichterstattung für das gesamte Unternehmen. Dies hat Klocwork zum bevorzugten statischen Analysator gemacht, der die Entwicklungsgeschwindigkeit hoch hält und gleichzeitig kontinuierliche Compliance für Sicherheit und Qualität durchsetzt. Sicherheitslücken mit SAST finden Verwenden Sie Klocwork Static Application Security Testing (SAST) für DevOps/DevSecOps. Unsere Sicherheitsstandards identifizieren Sicherheitslücken – helfen, Sicherheitsprobleme früh zu finden und zu beheben und die Einhaltung international anerkannter Sicherheitsstandards nachzuweisen. • DevSecOps: Klocwork integriert sich in CI/CD-Tools, Container, Cloud-Dienste und Maschinenbereitstellung, was automatisierte Sicherheitstests erleichtert. • Sicherheitsstandards: CWE, OWASP, CERT, PCI DSS, DISA STIG und ISO/IEC TS 17961. • Erkennung von Sicherheitslücken: SQL-Injection, kontaminierte Daten, Pufferüberlauf, anfällige Codierungspraktiken und viele mehr. • Fehler-, Qualitätsproblem- und Code-Geruch-Erkennung: Null-Pointer-Dereferenzen/Ausnahmen, Speicher-/Ressourcenlecks, nicht abgefangene Ausnahmen und viele mehr. Projektströme Projektströme bieten eine einfache Verwaltung gemeinsamer Codebasen mit mehreren Varianten oder Zweigen, indem sie die Projektregelkonfiguration, das Problemmanagement, die Fehlerzitation, Berichterstattung und effiziente Datenspeicherung der Analysedaten vereinfachen. • Weisen Sie eine einzige Projektregelkonfiguration allen Varianten zu. • Probleme, die mehreren Varianten gemeinsam sind, werden automatisch synchron gehalten und müssen nur einmal zitiert werden. • Identifizieren Sie leicht identische Probleme über mehrere Ströme hinweg und Probleme, die nur in einem bestimmten Strom auftreten. • Erstellen Sie Berichte über einzelne Ströme für Compliance, funktionale Sicherheit oder andere Nachweiszwecke. • Bequemere Organisation und effiziente Speicherung von Analysedaten. DevOps Bereit Klocwork-Tools sind mit Blick auf Continuous Integration und Continuous Delivery entwickelt, was es einfach macht, statische Code-Analyse als Teil Ihrer CI/CD-Pipelines einzubinden. Differenzielle Analyse: Mithilfe von Systemkontextdaten vom Klocwork-Server ist es möglich, nur die geänderten Dateien zu analysieren und gleichzeitig differenzielle Analyseergebnisse zu liefern, als ob das gesamte System analysiert worden wäre. Dies ermöglicht die kürzest möglichen Analysezeiten. Einfach zu automatisieren: Klocwork-Tools verfügen über gemeinsame Befehlszeilenschnittstellen, die Klocwork-Fehlerdaten sind über eine REST-API zugänglich und alle Ausgabeformate verwenden Standardformate wie XML, JSON und PDF. Containerisierte Builds: Klocwork kann innerhalb containerisierter und Cloud-Build-Systeme ausgeführt werden und unterstützt die Bereitstellung von Maschineninstanzen nach Bedarf. Dies bietet maximale Flexibilität und die Möglichkeit, interne oder externe Cloud-Dienste für die Code-Analyse zu nutzen. Kontrolle, Zusammenarbeit und Berichterstattung Das Klocwork-Portal-Dashboard ist ein zentraler Speicher für Analysedaten, Trends, Metriken und Konfigurationen für Codebasen im gesamten Unternehmen – zugänglich über einen Webbrowser. Das Dashboard ist hochgradig anpassbar und ermöglicht Ihren Entwicklern, Managern und anderen Stakeholdern: • Globale oder projektspezifische QA- und Sicherheitsziele sowie Regelkonfigurationen zu definieren. • Zugriffsberechtigungen und Genehmigungs-Workflows zu steuern. • Trend- und Metrikdaten zur Projektqualität und Compliance einzusehen. • Compliance- und Sicherheitsberichte zu erstellen. • Fehler basierend auf Schweregrad, Ort und Lebenszyklus zu priorisieren. • Neue Probleme von Legacy-Code-Problemen zu unterscheiden. • Rückständige Probleme an Change-Control-Systeme zu übergeben. Für Entwickler konzipiert Durch die nahtlose Integration der statischen Code-Analyse mit dem Rest Ihres Entwicklungstools wird Klocwork die Fehlererkennung nach links verschieben und die Akzeptanz als Werkzeug für Entwicklertraining und Produktivitätssteigerung verbessern. Keine Benutzerkonfiguration: Klocwork bietet sofortige Unterstützung für Hunderte von Compilern und Cross-Compilern, sodass die Build-Integration automatisch erfolgt. Einfach zu bedienen: Plugins für beliebte IDEs (einschließlich Microsoft Visual Studio, Eclipse, IntelliJ und mehr). Verbundenes Desktop: Lokale Codeänderungen, die mit den verbundenen Desktop-Plugins vorgenommen werden, liefern sofort differenzielle Analyseergebnisse innerhalb der IDEs. Detailliertes Feedback und Hilfe: Intraprozedurale Fehler und Codierungsverstöße werden nach Risikograd identifiziert. Für jeden Fehler und Verstoß erhalten Sie detaillierte Informationen zur Ursache mit reichhaltiger, kontextsensitiver Hilfe und Anleitungen zur Behebung. Dies ermöglicht leicht zugängliche Lern- und Verständnisgelegenheiten. Zusätzlich bietet Klocwork eine Secure Code Warrior-Integration, die Ihnen Software-Sicherheitslektionen und Schulungswerkzeuge für viele gängige Programmiersprachen beim Codieren bereitstellt. Benutzerdefinierte Regeln: Ein grafisches Tool zur Erstellung benutzerdefinierter Prüfer macht die Implementierung projekt- oder organisationsspezifischer Regeln schnell und einfach – was die Lernmöglichkeiten weiter bereichert. Architekturanalyse: Klocwork integriert sich auch mit Architekturvisualisierungs- und Durchsetzungstools wie Structure 101, um Benutzern zu ermöglichen, die Gesamtqualität und Wartbarkeit ihrer Codebasis durch saubere und korrekte Abhängigkeiten weiter zu verbessern.