新版Coverity都有哪些亮点？

时间：2022-03-14 02:06:01 | 来源：行业动态

时间：2022-03-14 02:06:01 来源：行业动态

Coverity是一款精确的综合静态分析与应用安全测试（SAST）平台，它可以在编写代码时发现关键的缺陷和安全缺陷，防止它们变成安全漏洞、故障或维护缺陷。Coverity 利用精确和有效的修复指南，基于专利技术以及对100亿行专用和开源代码的十年研发和分析经验，可以识别出开发期间的关键质量缺陷和潜在安全漏洞，有助于降低风险和整体项目成本。而Coverity 2018.01具有多个亮点来支持软件开发生命周期中的代码质量和安全。

扩展的编程语言覆盖范围：即使企业扩展其软件组合，采用新的语言、架构及技术，比如移动和微服务，Coverity也能帮助企业在应用程序中主动构建安全性和质量。每次发布新版本，新思科技都将持续扩大Coverity对新的编程语言的支持，同时加强对现有语言的安全分析。Coverity 2018.01增加了对两种新语言的支持：通常用于基于微服务的应用程序开发的Scala和VB.NET。最新发布的Coverity还为Swift、PHP、Python、JavaScript、Java、C#和Node.js编程语言提供增强的安全分析。通过这些新增功能，Coverity支持用于构建嵌入式和企业级软件的关键程序语言。

杨国梁表示，软件开发语言方面的覆盖范围是SAST工具能力的重要体现。Coverity现在覆盖了17种开发语言，而且这些语言有一些特性更新的时候，我们也能跟进上去。我们会不断地收集客户的需求，增加新的语言支持。此外，各种开发语言的检查规则是不一样的，并不一定所有的规则都适用所有的语言，我们需要考虑到各种语言不同的特性，你要适配它的各种检查规则。Coverity提供了超过200种语言检查规则。

同时，在编译器支持方面，Coverity也实现了广泛覆盖。例如iOS或者安卓编译工具的升级是很频繁的，还有嵌入式类设备的编译器范围非常非常繁杂。对于这些编译器，Coverity实现了平滑支持。

此外，杨国梁表示，对于SAST类工具，误报率是一个重要的衡量标准，而Coverity的低误报率是相比其它竞争产品的最大一个亮点。SAST的误报率是不可避免的。对于研发人员来说，如果能够控制它的误报率在一个比较低的程度，那么给它引入一款好用的工具，肯定是很受欢迎的。通过深入理解源代码和底层框架，Coverity平台可以提供高度精确的分析结果，使开发人员不再浪费时间管理大量的误报结果。

新思科技从2008年开始统计Coverity的误报率，基于Coverity Scan扫描的四千多个开源项目代码库，我们已经可以把误报率控制在10%以下。对于一些我们比较擅长的开发语音，比如C、C ，甚至可以控制在5%以下。杨国梁说。

支持安全编码标准：Coverity帮助企业遵循编码标准，提升关键嵌入软件的安全性及可靠性。随着最新版本的发布，Coverity 2018.01全面支持SEI CERT C（2016版） 安全编码的行业标准。除了CERT C，Coverity也支持MISRA编码标准的所有版本，并通过了ISO 26262认证。

在杨国梁看来，不管是大公司还是小公司、创业公司，软件安全同样至关重要。一些小的创业类公司可能无暇顾及整个开发流程是不是符合规范，但是这并不代表他们不重视软件安全。新思科技的客户当中也不乏中小型企业和创业公司。SAST类工具对于他们来说非常重要，可以确保其在研发阶段的安全。

对于国内外的SAST需求，杨国梁说，国外公司接受Build Security In内置安全的架构分析概念可能会好一些，在研发阶段及早地引入SAST工具。而国内更乐于接受做一些渗透测试，第三方的代码检测等等。但是有趋势显示越来越多公司已经开始在研发的早期阶段引入SAST的工具。

与现代开发工具链的集成：Coverity支持并集成许多常用的开发工具，以助力实现快速和自动化的开发工作流程。Coverity 2018.01为最新的集成开发环境（IDEs）提供插件，包括Visual Studio、Eclipse、IntelliJ和Android Studio等等。为了优化安全测试，最新版本还借助Jenkins持续集成（CI）服务器，以支持开箱即用的集成。Coverity新的Jenkins插件进一步完善了Jenkins Pipeline工作流框架，可以按项目检索发现问题，并增强了数据过滤功能。

现在在软件开发领域出现了很多新的趋势，比如敏捷、CI/CD、DevOps、微服等。这一方面带来了软件研发的新潮流，但是对于软件安全来说，它有一定的弊端。杨国梁说，便捷性、快速和安全的考虑，一定程度上是有冲突的。你需要花时间和精力才能够确保安全性，但是很多时候你没有足够的时间和精力做完这些再上线。不管是CI/CD，还是DevOps，标准的流程体系下要求也要做相应的安全测试。我们的服务以及产品都会快速跟进并且满足这样的需求。

除了功能更新，据杨国梁介绍，针对中国用户，Coverity的界面和所有的文档都已经全部完成本土化。在服务方面，新思科技加大了中国区的投入，目前售前、售后及研发都在中国区落地，有充足的技术资源确保中国客户使用Synopsys SIG（新思科技软件质量与安全部门）的产品。