Klocwork ist ein statisches Code-Analyse- und SAST-Tool für C, C++, C#, Java, JavaScript, Python und Kotlin, das Software-Sicherheits-, Qualitäts- und Zuverlässigkeitsprobleme identifiziert und hilft, die Einhaltung von Standards durchzusetzen.
Für Enterprise DevOps und DevSecOps entwickelt, skaliert Klocwork auf Projekte jeder Größe, integriert sich in große komplexe Umgebungen, eine breite Palette von Entwicklerwerkzeugen und bietet Kontrolle, Zusammenarbeit und Berichterstattung für das gesamte Unternehmen. Dies hat Klocwork zum bevorzugten statischen Analysator gemacht, der die Entwicklungsgeschwindigkeit hoch hält und gleichzeitig kontinuierliche Compliance für Sicherheit und Qualität durchsetzt.
Verwenden Sie Klocwork Static Application Security Testing (SAST) für DevOps/DevSecOps. Unsere Sicherheitsstandards identifizieren Sicherheitslücken – helfen, Sicherheitsprobleme frühzeitig zu finden und zu beheben und die Einhaltung international anerkannter Sicherheitsstandards nachzuweisen.
• DevSecOps: Klocwork integriert sich mit CI/CD-Tools, Containern, Cloud-Diensten und Maschinenbereitstellung, was automatisierte Sicherheitstests einfach macht.
• Sicherheitsstandards: CWE, OWASP, CERT, PCI DSS, DISA STIG und ISO/IEC TS 17961.
• Sicherheitslücken-Erkennung: SQL-Injection, kontaminierte Daten, Pufferüberlauf, anfällige Codierungspraktiken und viele mehr.
• Fehler-, Qualitäts- und Codegeruchserkennung: Nullzeiger-Dereferenzierungen/Ausnahmen, Speicher-/Ressourcenlecks, nicht abgefangene Ausnahmen und viele mehr.
Project Streams bietet eine einfache Verwaltung gemeinsamer Codebasen, die mehrere Varianten oder Zweige haben, indem es die Projektregelkonfiguration, das Problemmanagement, die Fehlerzitation, die Berichterstattung und die effiziente Datenspeicherung von Analysedaten vereinfacht.
• Weisen Sie allen Varianten eine einzige Projektregelkonfiguration zu.
• Probleme, die mehreren Varianten gemeinsam sind, werden automatisch synchron gehalten und müssen nur einmal zitiert werden.
• Identifizieren Sie leicht identische Probleme über mehrere Streams hinweg und Probleme, die einzigartig für einen bestimmten Stream sind.
• Erstellen Sie Berichte über einzelne Streams für Compliance, funktionale Sicherheit oder andere Beweiszwecke.
• Bequemere Organisation und effiziente Speicherung von Analysedaten.
Klocwork-Tools sind mit Continuous Integration und Continuous Delivery im Vordergrund unseres Denkens konzipiert, was es einfach macht, statische Code-Analyse als Teil Ihrer CI/CD-Pipelines einzubeziehen.
Differenzielle Analyse: Mit Systemkontextdaten vom Klocwork-Server ist es möglich, nur die geänderten Dateien zu analysieren und gleichzeitig differenzielle Analyseergebnisse bereitzustellen, als ob das gesamte System analysiert worden wäre. Dies bietet Ihnen die kürzest möglichen Analysezeiten.
Klocwork-Tools haben gemeinsame Befehlszeilenschnittstellen, die Klocwork-Fehlerdaten können über eine REST-API abgerufen werden und alle Ausgabeformate verwenden Standardformate wie XML, JSON und PDF.
Klocwork kann innerhalb containerisierter und Cloud-Build-Systeme ausgeführt werden und unterstützt die Bereitstellung von Maschineninstanzen nach Bedarf. Dies bietet maximale Flexibilität und die Möglichkeit, interne oder externe Cloud-Dienste für die Code-Analyse zu nutzen.
Das Klocwork-Portal-Dashboard ist ein zentraler Speicher für Analysedaten, Trends, Metriken und Konfigurationen für Codebasen in der gesamten Organisation – zugänglich über einen Webbrowser.
Das Dashboard ist hochgradig anpassbar und ermöglicht es Ihren Entwicklern, Managern und anderen Stakeholdern:
• Globale oder projektspezifische QA- und Sicherheitsziele und Regelkonfigurationen zu definieren.
• Zugriffsberechtigungen und Genehmigungs-Workflows zu steuern.
• Trend- und Metrikdaten für Projektqualität und Compliance anzuzeigen.
• Compliance- und Sicherheitsberichte zu erstellen.
• Fehler basierend auf Schweregrad, Standort und Lebenszyklus zu priorisieren.
• Neue Probleme von Legacy-Code-Problemen zu unterscheiden.
• Rückstandprobleme an Änderungssteuerungssysteme zu übermitteln.
Durch die nahtlose Integration der statischen Code-Analyse mit dem Rest Ihres Entwicklungstoolsatzes wird Klocwork die Fehlererkennung nach links verschieben und die Entwicklerakzeptanz als Werkzeug für Entwicklertraining und Produktivitätssteigerung verbessern.
Klocwork bietet sofort einsatzbereite Unterstützung für Hunderte von Compilern und Cross-Compilern, sodass die Build-Integration automatisch erfolgt.
Plugins für beliebte IDEs (einschließlich Microsoft Visual Studio, Eclipse, IntelliJ und mehr).
Lokale Codeänderungen, die mit den verbundenen Desktop-Plugins vorgenommen werden, liefern sofort differenzielle Analyseergebnisse innerhalb der IDEs.
Intraprozedurale Fehler und Codierungsverletzungen werden nach Schweregrad des Risikos identifiziert. Für jeden Fehler und jede Codierungsverletzung erhalten Sie detaillierte Informationen zur Ursache mit reichhaltiger, kontextsensitiver Hilfe und Anleitung zur Behebung. Dies ermöglicht leicht zugängliche Möglichkeiten zum Verstehen und Lernen.
Darüber hinaus bietet Klocwork eine Integration mit Secure Code Warrior, die Ihnen Software-Sicherheitslektionen und Schulungswerkzeuge für viele gängige Entwicklungssprachen beim Schreiben von Code bietet.
Ein grafisches Tool zur Erstellung benutzerdefinierter Prüfer macht die Implementierung projekt- oder organisationsspezifischer Regeln schnell und einfach – und bereichert die Lernmöglichkeiten weiter.
Klocwork integriert sich auch mit architektonischen Visualisierungs- und Durchsetzungswerkzeugen wie Structure 101, um Benutzern zu ermöglichen, die Gesamtqualität und Wartbarkeit ihrer Codebasis durch saubere und korrekte Abhängigkeiten weiter zu verbessern.
