提高安全和质量意识

避免安全隐患

需要付出什么

静态分析工具使用非常复杂的流程和数据流分析. 他们确定的质量和安全问题通常是复杂的,并涉及模糊的逻辑问题, 这就是为什么这些工具如此有价值.

静态源代码分析工具可以分析100%的源代码, 远远超过任何外部测试工具.

适用于必须遵守支付卡行业数据安全标准或支付应用数据安全标准的组织, 这些工具满足代码评审需求. 它们还会产生有价值的指标, 包括千行代码(klos),文件数量, 还有“搅黄”——没错, 在两次常规构建之间更改的文件数量.

在开发过程中引入静态代码分析和必要的工具并不总是毫无痛苦的, 然而. ACI公司全球在全公司推广这种方法的过程中发现了许多微妙的缺陷. 该工具改变了许多人的工作方式,必须成为组织及其文化的一部分.

例如, 静态代码分析工具通常需要仔细地集成到项目构建过程中.

这些工具还必须集成到开发人员的日常工作中. 再一次, 工具制造商为许多流行的集成开发环境(如Eclipse和Visual Studio)提供了工具的命令行版本以及插件.

最重要的是, 这些工具要求代码库有一个主题专家(SME),他也可以为这些工具提供相同的服务. 这个人不仅要回答关于工具如何操作的问题,还要回答工具正在发现的问题——包括识别工具何时产生假阳性. SME将为其他开发人员提供培训和支持, 头几周工作量相当大, 直到每个人都熟悉静态分析工具. 在那之后,这部分的工作量应该稳定到每周几个小时.

初步分析:恐慌时间

静态代码分析工具的最大挑战是现有代码中的问题. 在全球ACI, 基于现有代码的初始构建的所有问题都被立即推迟并隐藏起来. 这样,开发人员就不会感到不知所措,并且可以专注于确保不会在代码中引入新的问题.

在将来的某个时候, 产品规划师和高级开发人员审查延期问题, 对他们进行优先排序和分组, 并决定何时将补救措施纳入未来版本的计划中. 没有完美的方法, 而且,企业总是必须做出艰难的决定,决定是应对漏洞,还是承担风险.

最终分析

静态代码分析被证明是ACI公司全球的一个有价值的工具, 因为它允许他们在开发过程中更全面、更早地发现严重的bug.

除了, 我们选择的Klocwork套件提供了一种连接有经验的高级开发人员和初级开发人员的方式. 这些工具包括大量的帮助文件,可以将遇到问题的开发人员转给更有经验的开发人员以获得建议——这总是一种有价值的交互.

查看静态代码分析的不同之处

Klocwork 帮助像ACI公司全球这样的公司在开发过程中更早地发现更多的漏洞. 自己看看Klocwork将如何帮助您实现相同的目标.

➡️开始你的klocwork免费试用

发送反馈