【摘要】 Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。

1. 概述

Coverity是一款快速准确高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。

在编写代码时,Coverity尽早识别关键的软件质量缺陷和安全漏洞。在开发过程中,当它成本最低且最容易修复时。精确的可操作修复建议和特定于上下文的 eLearning 可以帮助开发人员了解如何快速修复他们的优先级问题,而不必成为安全专家。Coverity无缝地将自动化安全测试集成到您的CI/CD管道中,并支持您现有的开发工具和工作流。

Coverity为应用程序在不同软件开发生命周期(SDLC)阶段的风险态势的整体视图。

  • 安全团队可以查看整个应用程序组合的集中风险概要。其中通过API访问允许将结果导入到其他风险报告工具中。
  • 可以按类别过滤已识别的漏洞,查看趋势报告,基于关键度对漏洞进行优先补救,并跨团队和项目管理安全策略合规(例如OWASP Top 10, CWE Top 25,和PCI DSS)。
  • “随时间变化的问题”报告显示不同时间段的严重程度,并为您提供有关项目安全状况的即时信息。PDF报告下载允许审核员维护详细的合规记录。

1.1 目录结构

Linux系统下的Coverity 发布包,其顶层目录结构如下:

.
├── bin
├── brakeman-pro
├── build.py
├── certs
├── closure-compiler
├── config
├── doc
├── dotnet
├── dtd
├── dynamic-analysis
├── eagleye.py
├── forcheck
├── HIS
├── jars
├── jdk11
├── jre
├── jshint
├── lib
├── library
├── locale
├── node
├── python3.4
├── ruby
├── spotbugs
├── spotbugs-ext
├── support-angularjs
├── template-da
├── uninstall
├── VERSION
├── VERSION.xml
├── xsl
└── yarn

windows系统下的Coverity 发布包,其顶层目录结构如下:

 

 

2. 集成生态

2.1 端侧IDEs

Code Sight™ IDE插件,开发人员在编写代码时可以在几秒钟内得到准确的分析。它快速准确的增量分析在后台运行,以尽量减少干扰,直接在 IDE 内为开发人员提供实时结果,包括缺陷描述、类别、严重性、CWE信息、缺陷位置、详细的修复建议、数据流跟踪信息,以及IDE中的问题分类和管理功能。相关插件的下载地址:

  • Visual Studio插件
  • Intellij IDEA|WebStorm|PyCharm|PhpStorm|RubyMine 插件
  • Eclipse插件
  • Visual Studio Code

2.2 版本控制

Accurev、ClearCase、CVS、GIT、Mercurial、Perforce、Plastic、SVN和Team Foundation Server

2.3 Ticketing系统

  • Jira
  • Bugzilla

2.4 持续集成/持续部署

  • Jenkins
  • Azure DevOps Server

2.5 构建工具

操作系统流程层次监测您的构建系统来获得每一个操作的清晰视图,展现您的软件。

Gradle/Ant/Maven/CMake/Make等

2.6 合作伙伴集成

REST api可用于支持其他构建自动化解决方案,以及将分析结果导入其他企业或自定义工具。

3. 检查能力

3.1 支持的语言

Coverity为 21 种语言提供广泛的安全和质量检查支持。

语言

3.2 支持的框架

Coverity支持Java、JavaScript、c#和其他语言的70多个不同框架。Coverity还支持与AWS服务(EC2, S3, DynamoDB, IAM)和谷歌云存储API (GCP)交互的云本地JavaScript应用程序的主要云提供商API框架的安全建模。

语言FrameworkFrameworkFrameworkFramework
JavaAndroid SDKGWTVert.xJSP and JSP Standard Tag Library(JSTL)
JavaApache ShiroHibernateJAX RSReactiveX (RxJava, Reactor)
JavaAxisiBatisJAX WSEnterprise Java Beans (EJBs)
JavaDWRJava FrameworksJEEJava Persistence API (JPA)
JavaRestletSpring BootJSF/FaceletsSpring Framework
JavaStrutsTerasolunaTilesJavax.websocket
JavaWS XML-RPC
C#ASP.NET Web FormsIdentity ServerMassTransitASP.NET Core MVC/ASP.NET MVC
C#ASP.NET ASMX Web ServicesRazor templatesWCF ServicesASP.NET Core MVC/ASP.NET MVC
JS/TS:Client-sideAngularApache CordovaBootstrapHTML5 DOM APIs/Ajax
JS/TS:Client-sideAngular JSBackboneEmberReact/ Preact
JS/TS:Client-sidejQueryMithrilSocket.IOSwig
JS/TS:Client-sideVue
JS/TS:Server-sideExpressFastifyHapiAngular server-side rendering (Express and Hapi engines)
JS/TS:Server-sideKoaMean.ioNodeReact server-side rendering (Next.js)
JS/TS:Server-sidePassportRestifySocket.IOSAP XS Classic and Advanced
JS/TS:Server-sideVue server-side rendering
JS/TS:Template enginesConsolidatedoT.jsEJSHandlebars
JS/TS:Template enginesHoganJadekoa-viewsLodash (templating)
JS/TS:Template enginesMarkoMustacheNunjucksPug
JS/TS:Template enginesSwigTwigVisionUnderscore (templating)
JS/TS:Major librariesAxiosRequestSequelizeGoogle Cloud APIs (Storage)
JS/TS:Major librariesUnderscore / LodashSwashbuckleSqlxMongoose / MongoDB
GOEcho
PHPSymfony
PythonFlaskDjango
RubyRuby on Rails

3.3 支持的平台

主机操作系统主机操作系统和/或内核版本
AIXv6.1 适用于 PowerPC 处理器
AIXv7.1 适用于 PowerPC 处理器
FreeBSDv8.4(32 位)on i386 (x86) 或 v8.4(64 位)on amd64 (x86_64)
FreeBSDv11.1(32 位)on i386 (x86) 或 v11.1(64 位)on amd64 (x86_64)
FreeBSDv11.2(32 位)on i386 (x86) 或 v11.2(64 位)on amd64 (x86_64)
FreeBSDv12.0(32 位)on i386 (x86) 或 v12.0(64 位)on amd64 (x86_64)
LinuxLinux Kernel v2.6.32+(32 位)on x86 和 glibc 2.12-2.27(32 位)on x86
LinuxLinux Kernel v2.6.32+(64 位)on x86_64 和 glibc 2.12-2.27(64 位)on x86_64
macOSv10.12
macOSv10.13
macOSv10.14
NetBSDv6.0(32 位)on x86 或 v6.0(64 位)on x86_64
NetBSDv6.1(32 位)on x86 或 v6.1(64 位)on x86_64
NetBSDv7.0(32 位)on x86 或 v7.0(64 位)on x86_64
NetBSDv7.1(32 位)on x86 或 v7.1(64 位)on x86_64
NetBSDv7.2(32 位)on x86 或 v7.2(64 位)on x86_64
NetBSDv8.0(32 位)on x86 或 v8.0(64 位)on x86_64
Solarisv10和 v11 适用于(64 位)x86_64 处理器
Solarisv10 和 v11 适用于(64 位)SPARC 处理器
WindowsWindows 32 位工作站发行版、Windows 7 及更高版本(Windows 8.0 除外)
WindowsWindows 32 位服务器发行版、Windows Server 2008 及以上版本
WindowsWindows 64 位工作站发行版、Windows 7 及更高版本(Windows 8.0 除外)
WindowsWindows 64 位服务器发行版、Windows Server 2008 及以上版本

3.4 支持的编译器

优点:支持编译兼容性

CompilerCompilerCompilerCompilerCompiler
Analog Devices BlackfinARM C/C++ClangFreescale CodeWarriorHI-TECH PICC
Synopsys MetaWare C and C++Borland C++Cosmic CAnalog Devices SHARCIAR C/C++
Analog Devices TigerSHARCCEVA-XC4500IBM AIXGreen Hills C/C++/EC++IBM XLC
Tasking for ARM Cortex and TriCoreJDK for Mac OS XKeil compilersMarvell MSAMPLAB XC8
Nvidia CUDA Compiler (NVCC)OpenJDKQNX C/C++Renesas C/C++SNC C/C++
STMicroelectronics GNU C/C++SNC GNU C/C++Intel C++SONY PS4 SDKSun/Oracle JDK
STMicroelectronics ST Micro C/C++Sun (Oracle) CCGNU GCC/G++TI Code ComposerVisual Studio
Wind River C/C++

3.5 支持的业界标准

通过广泛的安全、质量、数据保护和安全标准全面跟踪和管理合规性,轻松按类别筛选已识别的问题,查看趋势报告,根据严重程度确定漏洞修复优先级,管理团队和项目的政策符合性。

  • OWASP Top 10:了解 Coverity 如何支持 OWASP Top 10 实现 Web 应用安全。
  • OWASP Mobile Top 10:了解 Coverity 如何支持 OWASP Mobile Top 10。
  • CWE Top 25:了解 Coverity 如何覆盖 25 个最关键的软件漏洞。
  • PCI DSS合规性:遵守必要的信息安全标准以保持合规性。
  • CERT C/C++/Java:遵循开发安全、可靠和稳妥系统的规则。
  • MISRA C/C++:解决编码标准问题并强制执行 MISRA C 和 MISRA C++ 规则。
  • AUTOSAR:确保采用 C++14 编写软件的安全性、可靠性和稳妥性。
  • DISA STIG安全指南符合性:确保美国国防部信息系统的安全性、可靠性和稳妥性。
  • ISO/IEC TS 17961:了解构建以 C 语言编写的安全应用程序的最佳实践。
  • ISO 26262:符合 ISO 26262 软件测试和应用程序安全要求。

3.6 可扩展检测能力

Coverity Extend是一个易于使用的软件开发工具包(SDK),它允许开发人员检测独特的缺陷类型。SDK是一个用于编写程序分析器或检查器的框架,用于识别自定义的或特定于领域的缺陷。CodeXM是一种特定于领域的函数式编程语言,它使开发人员能够轻松地开发自己的自定义检查器。这些定制的检查器支持符合公司安全需求和行业标准或指导方针

Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐