Klocwork est un outil d'analyse de code statique et SAST pour C, C++, C#, Java, JavaScript, Python et Kotlin qui identifie les problèmes de sécurité, de qualité et de fiabilité des logiciels, aidant à faire respecter la conformité aux normes.
Conçu pour les DevOps et DevSecOps d'entreprise, Klocwork s'adapte à des projets de toute taille, s'intègre à de grands environnements complexes, à une large gamme d'outils de développement, et fournit contrôle, collaboration et reporting pour l'ensemble de l'entreprise. Cela a fait de Klocwork l'analyseur statique préféré qui maintient une grande vélocité de développement tout en appliquant une conformité continue pour la sécurité et la qualité.
Utilisez le test de sécurité des applications statiques (SAST) de Klocwork pour DevOps/DevSecOps. Nos normes de sécurité identifient les vulnérabilités de sécurité – aidant à trouver et à corriger les problèmes de sécurité tôt et prouvant la conformité aux normes de sécurité reconnues internationalement.
• DevSecOps : Klocwork s'intègre aux outils CI/CD, aux conteneurs, aux services cloud et à la fourniture de machines, rendant les tests de sécurité automatisés faciles.
• Normes de sécurité : CWE, OWASP, CERT, PCI DSS, DISA STIG et ISO/IEC TS 17961.
• Détection de vulnérabilités de sécurité : Injection SQL, données contaminées, débordement de tampon, pratiques de codage vulnérables, et bien d'autres.
• Détection de bogues, problèmes de qualité et odeurs de code : Déréférencements/exceptions de pointeurs nuls, fuites de mémoire/ressources, exceptions non capturées, et bien d'autres.
Project Streams fournit une gestion facile des bases de code partagées qui ont plusieurs variantes ou branches en simplifiant la configuration des règles de projet, la gestion des problèmes, la citation des défauts, le reporting et le stockage efficace des données d'analyse.
• Assigner une configuration de règle de projet unique à toutes les variantes.
• Les problèmes communs à plusieurs variantes sont automatiquement synchronisés et ne nécessitent qu'une seule citation.
• Identifier facilement les problèmes identiques à travers plusieurs flux et les problèmes uniques à un flux spécifique.
• Générer des rapports sur des flux individuels pour la conformité, la sécurité fonctionnelle ou d'autres fins probantes.
• Organisation plus pratique et stockage efficace des données d'analyse.
Les outils Klocwork sont conçus avec l'intégration continue et la livraison continue au premier plan de notre réflexion, ce qui facilite l'inclusion de l'analyse de code statique dans vos pipelines CI/CD.
Analyse différentielle : En utilisant les données de contexte système du serveur Klocwork, il est possible d'analyser uniquement les fichiers qui ont changé tout en fournissant des résultats d'analyse différentielle comme si l'ensemble du système avait été analysé. Cela vous offre les temps d'analyse les plus courts possibles.
Facile à automatiser : Les outils Klocwork ont des interfaces de ligne de commande communes, les données de défauts Klocwork peuvent être accessibles via une API REST et tous les formats de sortie utilisent des formats standard, tels que XML, JSON et PDF.
Constructions conteneurisées : Klocwork peut être exécuté dans des systèmes de construction conteneurisés et Cloud et prend en charge la fourniture d'instances de machines selon les besoins. Offrant une flexibilité maximale et la possibilité d'utiliser des services Cloud internes ou externes pour l'analyse de code.
Le tableau de bord du portail Klocwork est un magasin centralisé de données d'analyse, de tendances, de métriques et de configurations pour les bases de code à travers l'organisation — accessible via un navigateur web.
Le tableau de bord est hautement personnalisable, permettant à vos développeurs, gestionnaires et autres parties prenantes de :
• Définir des objectifs et des configurations de règles QA et de sécurité globaux ou spécifiques à un projet.
• Contrôler les permissions d'accès et les flux de travail d'approbation.
• Voir les données de tendances et de métriques pour la qualité et la conformité du projet.
• Produire des rapports de conformité et de sécurité.
• Prioriser les défauts en fonction de la gravité, de l'emplacement et du cycle de vie.
• Distinguer les nouveaux problèmes des problèmes de code hérités.
• Pousser les problèmes en attente vers les systèmes de contrôle des changements.
En intégrant de manière transparente l'analyse de code statique avec le reste de votre ensemble d'outils de développement, Klocwork déplacera la détection des défauts vers la gauche et améliorera l'adoption par les développeurs en tant qu'outil de formation des développeurs et d'augmentation de la productivité.
Pas de configuration utilisateur : Klocwork offre un support prêt à l'emploi pour des centaines de compilateurs et de compilateurs croisés, donc l'intégration de la construction est automatique.
Facile à utiliser : Plugins pour les IDE populaires (y compris Microsoft Visual Studio, Eclipse, IntelliJ, et plus).
Bureau connecté : Les modifications de code locales effectuées à l'aide des plugins de bureau connectés fournissent des résultats d'analyse différentielle immédiats dans les IDE.
Commentaires détaillés et aide : Les défauts intraproceduraux et les violations de codage sont identifiés par la gravité du risque. Pour chaque défaut et violation de codage, vous recevrez des informations détaillées sur la cause avec une aide riche et contextuelle et des conseils sur la remédiation. Cela permet des opportunités facilement accessibles pour la compréhension et l'apprentissage.
De plus, Klocwork propose une intégration avec Secure Code Warrior, qui vous fournit des leçons de sécurité logicielle et des outils de formation pour de nombreux langages de développement courants pendant que vous écrivez du code.
Règles personnalisées : Un outil de création de vérificateur personnalisé graphique rend la mise en œuvre de règles spécifiques à un projet ou à une organisation rapide et facile — enrichissant encore les opportunités d'apprentissage.
Analyse architecturale : Klocwork s'intègre également avec des outils de visualisation et d'application architecturale comme Structure 101 pour permettre aux utilisateurs d'améliorer encore la qualité globale et la maintenabilité de leur base de code grâce à des dépendances propres et correctes.
