源代码审计工具Coverity Coverity上海望驰|Parasoft|Cybellum|beSTORM|Loadrunner|fortify|Fortify|源代码测试工具|黑盒测试工具|车联网|汽车信息安全|Defensics|Coverity|智能网联汽车信息安全解决方案|AppScan

源代码审计工具Coverity

摘要：Coverity® 为您提供开发高质量安全应用所需的速度、易用性、准确性、行业标准合规性及可扩展性。在早期开发阶段，即修复成本最低、修复难度最小的阶段， Coverity 便能随代码的编写及时识别出代码中严重的软件质量缺陷和安全漏洞。精确且可操作的补救建议和特定于上下文的 eLearning 在线学习指导，能够帮助贵公司的开发人员快速了解如何解决严重问题，而无需成为安全专家。Coverity 可将自动安全测试无缝集成到您的CI/CD Pipeline 中，并支持您的现有开发工具和工作流。您可自由选择开发位置和方法：内部部署或使用基于云的高可扩展应用安全平台“Polaris Software Integrity Platform ™ (SaaS)”在云端部署。Coverity 支持 20 种语言以及 70 多个框架和模板。

◎ 快速准确的分析

※ 借助Code Sight™ integrated development environment (IDE) 插件，开发人员在编写代码时只需花费几

秒钟时间便可在 IDE 上获取准确的分析结果。高保真增量分析在后台自动运行，且与完整中央分析使用相同的

Coverity 分析引擎，从而确保结果的一致性和准确性。

※ Coverity 可通过 IDE 为开发人员提供所需的全部信息，帮助他们了解如何修复已确定的问题 — 详细说明、类

别、严重性、CWE 信息、缺陷位置、具体的补救指导和数据流跟踪等 — 同时提供问题分类和管理功能。

※ Coverity 的“无构建分析”允许安全团队独立评估软件中的安全问题，无需构建软件。安全人员只需指定项目

位置，Coverity 便可自动识别、下载并分析所有必需的依赖。

◎ 全面的报告及合规可视性

Polaris 集成了Synopsys 分析引擎，包括Coverity 静态分析和Black Duck® 软件成分分析工具以及 Synopsys 托管

服务，从而可在软件开发生命周期（SDLC）的不同阶段就软件风险状况为企业提供整体视图。

※ 安全团队可就整个应用组合获得有关风险状况的汇总信息。API 允许他们将结果导入至其他的风险报告工具。

※ 您可逐类筛选已确定的漏洞、查看趋势报告、根据严重程度为漏洞修复分配优先级、同时跨越多个团队和项目

来管理安全政策合规性（如 OWASP Top 10、CWE/SANS Top 25 和 PCI DSS）。

※ “问题变化”报告可显示不同时段的问题严重程度，并且即时为您提供项目安全状况信息。PDF 报告下载功

能允许审计人员维护具体的合规记录。此外，Coverity 还能针对C/C++ 应用提供一流的代码质量问题检测功能，

同时针对功能安全，信息安全以及可靠性的诸多标准提供最全面的覆盖（如 MISRA®、CERT C/C++、ISO/IEC TS

17961 和 AUTOSAR®）。

◎ 企业级可扩展性和敏捷性

※ 通过CoverityonPolaris，企业无需安装并维护昂贵的本地设备，而是可以通过弹性地扩展软件应用安全测试来

满足不断增长的业务需求。

※ 如想安装Polaris，您只需登录URL、然后下载并安装命令行界面(CLI)即可。或者，您也可以通过CI工作流来运

行Polaris，以开始分析源代码。

※ 由于Coverity分析引擎运行在高可用的云平台上，因此，CoverityonPolaris可通过轻松扩展来容纳数以千计的

开发者和项目，并可在不影响高性能和可用性的情况下处理数百万个问题。

※ CodeSight插件无需配置，可从VisualStudio、Eclipse、IntelliJ、WebStorm、PyCharm和RubyMine网站直

接下载。

◎ 软件开发生命周期（SDLC）集成

※ Coverity可与IDE（如VisualStudio、Eclipse、IntelliJ、RubyMine、TeamFoundationServer和

AndroidStudio）、源代码管理(SCM)解决方案、问题跟踪工具（如Jira和Bugzilla）、CI构建工具(Jenkins)以及

应用生命周期管理解决方案(ALM)集成。

※ 内置的RESTAPI可用于支持其他的构建自动化解决方案，并将分析结果导入至其他的企业或自定义工具。

※ CoverityonPolaris可以提供额外的插件与集成，允许您在开发和预部署阶段开展基于云的自动安全测试。

※ 内置的RESTAPI可用于将分析结果导入至安全和风险报告工具。如想了解更多信息，请参阅Polaris产品简介。

◎ 全面的问题管理仪表板

※ 除了为基于IDE的本地开发提供CodeSight外，CoverityonPolaris基于Web的统一平台界面还能针对已确定的

问题提供详细说明、类别、严重性、CWE信息、缺陷位置、具体的补救指导、数据流跟踪、以及集中式问题分类

和详细历史记录等支持，从而帮助开发人员修复该等问题。

※ 开发经理可通过创建“问题变化”趋势图来显示整体安全风险及行业标准合规情况（如OWASPTop10和CWE/

SANSTop25），同时指导每名开发人员或整个项目团队合理修复高优先级问题。

※ 您可轻松查看描述“业界认可优先级列表”、“5类最关键问题”和“技术风险指标”的报告仪表板，从而集中

精力去解决对贵公司而言最为重要的问题并为其分配优先级。

※ 预定义的过滤器允许您根据CWE、标准分类法、优先级列表、风险指标、路径以及相关产品的开发负责人等参

数对问题进行过滤和分组。

◎ 扩展了标准合规与漏洞检测范围

CoverityExtend是一种易用的软件开发包(SDK)，允许开发人员检测独有的缺陷类型。这个SDK是为编写程序分析

器或检查器提供的一个框架，帮助他们识别自定义或特定领域的缺陷。CoverityCodeXM是一种面向特定领域的函

数式编程语言，使开发人员可以轻松地开发他们自己的自定义检查器。这些定制化检查器还有助于满足企业安全

要求和行业标准或指导方针的合规要求。

Coverity 支持 70 多种不同的Java、JavaScript 及C ＃等语言框架。Coverity 还支持主要云提供商API 框架的安全

建模，用于构建可与AWS Services（EC2、S3、DynamoDB 和IAM）及 Google Cloud Storage API (GCP) 互动的

云原生JavaScript 应用。

Cybellum Parasoft bestorm Defensics Appcheck Coverity loadrunner fortify 审计工具|源代码

没有了返回列表没有了