Klocwork——支持DevOps和功能安全/信息安全的静态代码分析器

Klocwork是一款现代、灵活的静态代码分析器，适用于C、C++、C#、Java、JavaScript、Python和Kotlin的静态检测，可以识别软件中的潜在缺陷，在开发最前期保证代码的安全性和可靠性，帮助软件遵循相应的编码规范。

Klocwork专为企业级DevOps/DevSecOps构建，可拓展到任何规模的项目检测，尤其适用于大型复杂开发环境，可实现不同编译环境的自由切换；支持增量分析；提供Web端管理平台，为项目协作提供极大便利；提供可定制化报告，适应不同项目要求。

Klocwork的主要功能特性：

• 基于SAST（静态应用程序安全测试）查找安全漏洞

Klocwork具有内置的检查程序，在DevOps(DevSecOps)流程中自动检查源代码中数百个潜在的安全漏洞，确定必须修复的缺陷，并在Validate端给出详细的指导，帮助开发人员高效修复源码中存在的问题，提高代码的安全性、可靠性和合规性。

• 支持DevOps

Klocwork工具的设计以持续集成和持续交付为首要思想，这使得将静态代码分析作为CI/CD的一部分变得容易，从而使开发人员能够更早、更频繁地发现代码缺陷。

增量分析：通过Klocwork Server的系统上下文数据，在整个系统已经分析完成后，可以仅分析已更改的文件，提供差异分析结果。这种方式可以尽可能减少分析耗时。

易于自动化：Klocwork工具有强大的命令行界面，我们可以基于命令行实现任何静态分析操作，这为实现测试流程自动化提供了极大便利。

容器化构建：Klocwork可以在容器化和云构建的系统中运行，为能够使用内部云或者外部云服务进行代码静态分析提供最大限度的灵活性和机会。

• 支持行业标准要求的编码规范

Klocwork支持的行业标准：IEC 61508、ISO 26262、EN 50128、DO-178B/C、 IEC 62304、FDA。在相关标准下涉及到的编码规范有MISRA、AUTOSAR、CERT、CWE、OWASP、DISA STIG、PCI DSS、C Secure、JSF AV C++、NASA，针对以上编码规则，Klocwork提供一站式支持，并且您可以根据项目要求定制化编码规范，这使得通过静态分析自动化遵循编码规范变得非常简单。

同时，Klocwork支持通过Klocwork Checker Studio定制化检查规则。开发/测试工程师可以借助Klocwork Abstract Syntax Tree (KAST)抽象语法树快速轻松地创建定制的安全检查，契合不同项目的静态分析要求。

• 提供网页端集中式分析与管理平台——Klocwork Validate

Klocwork Validate集中执行深度代码静态分析，并提供高度可定制的管理平台，使开发人员、主管和其他项目相关人员能够：

• 定义全局或特定项目的 QA 、安全目标以及规则配置。
• 控制访问权限和审批流程。
• 查看趋势图和度量数据，掌握项目质量和趋势。
• 生成合规性和安全性报告，支持报告的高度定制化。
• 根据严重程度、位置和生命周期确定缺陷的优先级。
• 使用 Smart Rank帮助开发人员根据缺陷可能性确定修复的优先级，结合问题严重性（Critical/Error/Warning…），提供整体漏洞风险评分。
• 针对诊断问题提供详细的修改说明。

• 区分新问题与遗留代码问题
• 将积压问题推送到变更控制系统。
• 将Helix QAC调查结果导入并集成到Klocwork SAC，实现在单个仪表板中查看和管理合并的分析结果。

• 支持的IDEs 
• Supported C/C++ IDEs：CLion、Eclipse、Wind River Workbench、QNX Momentics、Microsoft Visual Studio、Visual Studio Code
• Supported C# IDEs：Microsoft Visual Studio、Visual Studio Code
• Supported Java IDEs：Android Studio、Eclipse、IBM Rational Application Developer for WebSphere、JetBrains IntelliJ IDEA、Visual Studio Code
• Supported JavaScript/Kotlin/Python IDEs：Visual Studio Code
• 支持的编译器

无需用户配置，Klocwork为数百个编译器和交叉编译器提供开箱即用的支持。

• 支持的操作系统
• Amazon Linux 2、CentOS、Debian、Fedora、Oracle Linux、OpenSUSE、SUSE Enterprise、Red Hat Enterprise Linux、Ubuntu
• Windows 8.1、Windows 10 versions 1809 to 21H2、Windows Server 2012 to R2、Windows Server 2016、Windows Server 2019

资质认证

Klocwork通过了ISO、IEC、EN的TÜV-SÜD合规认证，可用于信息安全、功能安全相关软件的开发测试。针对IEC 61508（工业标准）可达SIL4， ISO 26262（汽车功能安全）可达ASIL D， EN 50128（铁路交通）可满足SW-SIL4等级要求， IEC 62304（医疗）Software Safety Class C)标准，帮助客户用更少的时间完成产品认证。

图 1 资质认证证书

关于原厂：

Perforce是一家DevOps解决方案提供商，其产品覆盖版本控制软件、应用程序生命周期管理平台、敏捷规划软件以及用于静态代码分析的Klockwork等。Perforce有40,000多个客户，涵盖从热门游戏厂商、半导体公司到著名互联网公司、汽车行业、银行及金融公司等各行各业。在静态分析领域，它有30多年软件开发和测试经验，是MISRA编码委员会和AUTOSAR组织的会员，参与编写编码规范，是静态分析领域公认的行业领导和先驱。

客户列表（部分）

技术支持

由通过Klocwork资质认证的专业技术团队提供技术支持。

技术咨询

根据您的行业及项目需求，为您提供最佳静态测试解决方案（Klocwork、Helix QAC），助力提升测试效率。

产品试用

联系北汇信息，根据您项目需要提供试用许可，帮助您部署软件及解决应用问题。