全面的软件静态分析解决方案.pdf

Klocwork 9.6 源代码分析工具技术方案 目 录 1. Klocwork 简介 1 1.1. Klocwork 功能简介 1 1.1.1. 软件缺陷与安全漏洞检测 1 1.1.2. 软件度量分析4 1.1.3. 可定制的代码分析6 1.1.4. 开发人员IDE 集成6 1.1.5. IDE 中的代码重构7 1.1.6. Klocwork 代码审查7 1.2. Klocwork 架构7 2. Klocwork 静态分析工具与软件开发进行过程集成9 2.1. 软件静态分析技术是降低缺陷管理成本的首选9 2.2. Klocwork 软件静态分析原理 10 2.2.1. Klocwork 静态分析技术原理 10 2.2.2. Klocwork 构建过程 13 2.2.3. 工作原理 14 2.3. 在软件开发过程中使用Klocwork 17 2.4. 使用Klocwork 的团队角色 18 2.4.1. 软件开发人员－在个人分析阶段消除软件缺陷和安全漏洞 18 2.4.2. 软件开发经理－在提交到测试之前获取您软件质量的可视化和控制 18 2.4.3. 安全经理或审查人员－在被利用之前，防止安全漏洞发生 19 3. 部署 19 1. Klocwork 简介 Klocwork 公司是软件静态分析领域技术和市场领先的厂商，全球拥有超过1000 家成功 客户，其中包含许多全球财富500 强企业。 Klocwork 软件是Klocwork 公司基于专利技术分析引擎开发的，综合应用了多种近年来 最先进的静态分析技术，是出色的软件静态分析软件。Klocwork 产品与其它同类产品相比， 具有很多突出的特征：Klocwork 支持的语言种类多，能够分析C、C++、C#和Java 代码； 能够发现的软件缺陷种类全面，既包括软件质量缺陷，又包括安全漏洞方面的缺陷，还可以 分析对软件架构、编程规则的违反情况；软件分析功能全面，既能分析软件的缺陷，又能进 行可视化的架构分析、优化；能够分析软件的各种度量；能够提供与多种主流 IDE 开发环 境的集成；能够分析超大型软件 （上千万代码行）。 1.1. Klocwork 功能简介 Klocwork 功能包括：  软件缺陷与安全漏洞检测  软件度量分析  可定制的代码分析  开发人员IDE 集成  IDE 中的代码重构  Klocwork 代码审查 1.1.1. 软件缺陷与安全漏洞检测 提供多角度的软件缺陷和安全漏洞的分析。 自动化的软件缺陷检测功能易于使用，定制灵活，具有图形化的构建和报表管理图形界 面，拥有业界领先的消息过滤器，极具柔性的配置，和强大的学习调整知识库； Klocwork 能够分析 C/C++、Java 、C#代码，生成代码问题报告，缺陷类型根据编程语 言的不同而不同，其中针对C/C++语言提供200 多种检查器，对Java 语言提供200 多种检 查器，对C#语言提供近40 种检查器。以下是检查器分类列表： 能够分析C/C++、Java 、C#代码，能够按照编程语言检测多种缺陷类型。 （1） C/C++代码缺陷类型 a) print 函数格式错误 b) scan 函数格式错误 c) 不匹配的返回值 d) 不可达代码 e) 使用已释放的内存 f) 使用未初始化变量 g) 内存泄漏