Coverity 代码静态安全扫描工具 : 认识Coverity
【摘要】 Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。
1. 概述
Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。
在编写代码时,Coverity尽早识别关键的软件质量缺陷和安全漏洞。在开发过程中,当它成本最低且最容易修复时。精确的可操作修复建议和特定于上下文的 eLearning 可以帮助开发人员了解如何快速修复他们的优先级问题,而不必成为安全专家。Coverity无缝地将自动化安全测试集成到您的CI/CD管道中,并支持您现有的开发工具和工作流。
Coverity为应用程序在不同软件开发生命周期(SDLC)阶段的风险态势的整体视图。
- 安全团队可以查看整个应用程序组合的集中风险概要。其中通过API访问允许将结果导入到其他风险报告工具中。
- 可以按类别过滤已识别的漏洞,查看趋势报告,基于关键度对漏洞进行优先补救,并跨团队和项目管理安全策略合规(例如OWASP Top 10, CWE Top 25,和PCI DSS)。
- “随时间变化的问题”报告显示不同时间段的严重程度,并为您提供有关项目安全状况的即时信息。PDF报告下载允许审核员维护详细的合规记录。
1.1 目录结构
Linux系统下的Coverity 发布包,其顶层目录结构如下:
.
├── bin
├── brakeman-pro
├── build.py
├── certs
├── closure-compiler
├── config
├── doc
├── dotnet
├── dtd
├── dynamic-analysis
├── eagleye.py
├── forcheck
├── HIS
├── jars
├── jdk11
├── jre
├── jshint
├── lib
├── library
├── locale
├── node
├── python3.4
├── ruby
├── spotbugs
├── spotbugs-ext
├── support-angularjs
├── template-da
├── uninstall
├── VERSION
├── VERSION.xml
├── xsl
└── yarn
windows系统下的Coverity 发布包,其顶层目录结构如下:
2. 集成生态
2.1 端侧IDEs
Code Sight™ IDE插件,开发人员在编写代码时可以在几秒钟内得到准确的分析。它快速准确的增量分析在后台运行,以尽量减少干扰,直接在 IDE 内为开发人员提供实时结果,包括缺陷描述、类别、严重性、CWE信息、缺陷位置、详细的修复建议、数据流跟踪信息,以及IDE中的问题分类和管理功能。相关插件的下载地址:
- Visual Studio插件
- Intellij IDEA|WebStorm|PyCharm|PhpStorm|RubyMine 插件
- Eclipse插件
- Visual Studio Code
2.2 版本控制
Accurev、ClearCase、CVS、GIT、Mercurial、Perforce、Plastic、SVN和Team Foundation Server
2.3 Ticketing系统
- Jira
- Bugzilla
2.4 持续集成/持续部署
- Jenkins
- Azure DevOps Server
2.5 构建工具
在操作系统流程层次监测您的构建系统来获得每一个操作的清晰视图,展现您的软件。
Gradle/Ant/Maven/CMake/Make等
2.6 合作伙伴集成
REST api可用于支持其他构建自动化解决方案,以及将分析结果导入其他企业或自定义工具。
3. 检查能力
3.1 支持的语言
Coverity为 21 种语言提供广泛的安全和质量检查支持。
3.2 支持的框架
Coverity支持Java、JavaScript、c#和其他语言的70多个不同框架。Coverity还支持与AWS服务(EC2, S3, DynamoDB, IAM)和谷歌云存储API (GCP)交互的云本地JavaScript应用程序的主要云提供商API框架的安全建模。
语言 | Framework | Framework | Framework | Framework |
---|---|---|---|---|
Java | Android SDK | GWT | Vert.x | JSP and JSP Standard Tag Library(JSTL) |
Java | Apache Shiro | Hibernate | JAX RS | ReactiveX (RxJava, Reactor) |
Java | Axis | iBatis | JAX WS | Enterprise Java Beans (EJBs) |
Java | DWR | Java Frameworks | JEE | Java Persistence API (JPA) |
Java | Restlet | Spring Boot | JSF/Facelets | Spring Framework |
Java | Struts | Terasoluna | Tiles | Javax.websocket |
Java | WS XML-RPC | |||
C# | ASP.NET Web Forms | Identity Server | MassTransit | ASP.NET Core MVC/ASP.NET MVC |
C# | ASP.NET ASMX Web Services | Razor templates | WCF Services | ASP.NET Core MVC/ASP.NET MVC |
JS/TS:Client-side | Angular | Apache Cordova | Bootstrap | HTML5 DOM APIs/Ajax |
JS/TS:Client-side | Angular JS | Backbone | Ember | React/ Preact |
JS/TS:Client-side | jQuery | Mithril | Socket.IO | Swig |
JS/TS:Client-side | Vue | |||
JS/TS:Server-side | Express | Fastify | Hapi | Angular server-side rendering (Express and Hapi engines) |
JS/TS:Server-side | Koa | Mean.io | Node | React server-side rendering (Next.js) |
JS/TS:Server-side | Passport | Restify | Socket.IO | SAP XS Classic and Advanced |
JS/TS:Server-side | Vue server-side rendering | |||
JS/TS:Template engines | Consolidate | doT.js | EJS | Handlebars |
JS/TS:Template engines | Hogan | Jade | koa-views | Lodash (templating) |
JS/TS:Template engines | Marko | Mustache | Nunjucks | Pug |
JS/TS:Template engines | Swig | Twig | Vision | Underscore (templating) |
JS/TS:Major libraries | Axios | Request | Sequelize | Google Cloud APIs (Storage) |
JS/TS:Major libraries | Underscore / Lodash | Swashbuckle | Sqlx | Mongoose / MongoDB |
GO | Echo | |||
PHP | Symfony | |||
Python | Flask | Django | ||
Ruby | Ruby on Rails |
3.3 支持的平台
主机操作系统 | 主机操作系统和/或内核版本 |
---|---|
AIX | v6.1 适用于 PowerPC 处理器 |
AIX | v7.1 适用于 PowerPC 处理器 |
FreeBSD | v8.4(32 位)on i386 (x86) 或 v8.4(64 位)on amd64 (x86_64) |
FreeBSD | v11.1(32 位)on i386 (x86) 或 v11.1(64 位)on amd64 (x86_64) |
FreeBSD | v11.2(32 位)on i386 (x86) 或 v11.2(64 位)on amd64 (x86_64) |
FreeBSD | v12.0(32 位)on i386 (x86) 或 v12.0(64 位)on amd64 (x86_64) |
Linux | Linux Kernel v2.6.32+(32 位)on x86 和 glibc 2.12-2.27(32 位)on x86 |
Linux | Linux Kernel v2.6.32+(64 位)on x86_64 和 glibc 2.12-2.27(64 位)on x86_64 |
macOS | v10.12 |
macOS | v10.13 |
macOS | v10.14 |
NetBSD | v6.0(32 位)on x86 或 v6.0(64 位)on x86_64 |
NetBSD | v6.1(32 位)on x86 或 v6.1(64 位)on x86_64 |
NetBSD | v7.0(32 位)on x86 或 v7.0(64 位)on x86_64 |
NetBSD | v7.1(32 位)on x86 或 v7.1(64 位)on x86_64 |
NetBSD | v7.2(32 位)on x86 或 v7.2(64 位)on x86_64 |
NetBSD | v8.0(32 位)on x86 或 v8.0(64 位)on x86_64 |
Solaris | v10和 v11 适用于(64 位)x86_64 处理器 |
Solaris | v10 和 v11 适用于(64 位)SPARC 处理器 |
Windows | Windows 32 位工作站发行版、Windows 7 及更高版本(Windows 8.0 除外) |
Windows | Windows 32 位服务器发行版、Windows Server 2008 及以上版本 |
Windows | Windows 64 位工作站发行版、Windows 7 及更高版本(Windows 8.0 除外) |
Windows | Windows 64 位服务器发行版、Windows Server 2008 及以上版本 |
3.4 支持的编译器
优点:支持编译兼容性
Compiler | Compiler | Compiler | Compiler | Compiler |
---|---|---|---|---|
Analog Devices Blackfin | ARM C/C++ | Clang | Freescale CodeWarrior | HI-TECH PICC |
Synopsys MetaWare C and C++ | Borland C++ | Cosmic C | Analog Devices SHARC | IAR C/C++ |
Analog Devices TigerSHARC | CEVA-XC4500 | IBM AIX | Green Hills C/C++/EC++ | IBM XLC |
Tasking for ARM Cortex and TriCore | JDK for Mac OS X | Keil compilers | Marvell MSA | MPLAB XC8 |
Nvidia CUDA Compiler (NVCC) | OpenJDK | QNX C/C++ | Renesas C/C++ | SNC C/C++ |
STMicroelectronics GNU C/C++ | SNC GNU C/C++ | Intel C++ | SONY PS4 SDK | Sun/Oracle JDK |
STMicroelectronics ST Micro C/C++ | Sun (Oracle) CC | GNU GCC/G++ | TI Code Composer | Visual Studio |
Wind River C/C++ |
3.5 支持的业界标准
通过广泛的安全、质量、数据保护和安全标准全面跟踪和管理合规性,轻松按类别筛选已识别的问题,查看趋势报告,根据严重程度确定漏洞修复优先级,管理团队和项目的政策符合性。
- OWASP Top 10:了解 Coverity 如何支持 OWASP Top 10 实现 Web 应用安全。
- OWASP Mobile Top 10:了解 Coverity 如何支持 OWASP Mobile Top 10。
- CWE Top 25:了解 Coverity 如何覆盖 25 个最关键的软件漏洞。
- PCI DSS合规性:遵守必要的信息安全标准以保持合规性。
- CERT C/C++/Java:遵循开发安全、可靠和稳妥系统的规则。
- MISRA C/C++:解决编码标准问题并强制执行 MISRA C 和 MISRA C++ 规则。
- AUTOSAR:确保采用 C++14 编写软件的安全性、可靠性和稳妥性。
- DISA STIG安全指南符合性:确保美国国防部信息系统的安全性、可靠性和稳妥性。
- ISO/IEC TS 17961:了解构建以 C 语言编写的安全应用程序的最佳实践。
- ISO 26262:符合 ISO 26262 软件测试和应用程序安全要求。
3.6 可扩展检测能力
Coverity Extend是一个易于使用的软件开发工具包(SDK),它允许开发人员检测独特的缺陷类型。SDK是一个用于编写程序分析器或检查器的框架,用于识别自定义的或特定于领域的缺陷。CodeXM是一种特定于领域的函数式编程语言,它使开发人员能够轻松地开发自己的自定义检查器。这些定制的检查器支持符合公司安全需求和行业标准或指导方针
更多推荐
所有评论(0)