活动回顾 | 对话:汽车行业客户使用静态代码扫描工具的案例与建议
在2023 ACT汽车电子与软件技术周期间,我们对话了龙智资深DevSecOps顾问张鼎凯,从此次展会中客户咨询较多的问题展开探讨,并分享汽车行业客户选择、使用静态代码扫描工具的案例与建议。
采访文字实录
Q:此次展会,龙智带来了一系列适合汽车行业的软件开发工具,其中哪些比较受欢迎?请介绍一下。
有两款产品备受欢迎:Perforce的Helix QAC和Klocwork。Helix QAC主要针对汽车行业的嵌入式开发,特别针对C和C++语言。目前,主流的汽车公司中有90%都在使用该产品。
Helix QAC专注于合规性,因为汽车制造商需要符合一系列的行业标准和规范,如MISRA和AUTOSAR,这两个也是汽车行业最广泛认可的规范。Helix QAC对这两个规范的覆盖率达到100%。
不仅仅局限于汽车行业,和汽车行业相关的TR1、TR2和TR3(技术评审环节的节点)公司,也对代码安全合规性有需求。因此,许多与汽车行业相关的用户将Helix QAC作为其主要的代码合规性扫描工具。
他们通过QAC输出完整的合规性报告,以确保其产品或整个汽车研发项目符合汽车行业的标准。这使得他们的整车或相关产品,一旦拿到QAC输出的符合行业标准的合规性报告,就能够正式发布并投放市场。
另一产品是Klocwork,它在C和C++语言的基础上,还涵盖了C#、Java、JavaScript、Python和Kotlin语言。它也符合相关行业标准,如ISO 26262、MISRA和AUTOSAR,但覆盖率不如QAC全面。
选择Klocwork的客户主要考虑合规性标准和提高代码质量。通过其对多语言的支持,Klocwork可以提前识别代码中的漏洞、Bug和不规范之处,从而提高合规性和整体代码质量。这个产品在航空、军工、医疗器械和汽车行业都有广泛的应用。
Q:作为一名DevSecOps顾问,你如何为客户选择合适的产品?请结合具体案例谈一下。
客户主要还是根据实际需求选择产品。在向客户推荐产品之前,我们充分了解他们的需求,匹配他们的痛点,为他们推荐最适合的产品。
有一个Helix QAC的客户,他们是汽车相关行业的公司,为整车厂提供服务。根据最终用户(整车厂)的需求,他们需要在短时间内输出符合MISRA标准的报告,同时他们采用C语言进行开发。
客户来找到我们后,我们快速分析了他们的需求,发现他们最迫切需要解决的问题是合规性要求。为满足这一需求,我们向他们推荐了Helix QAC。这正好满足了他们迅速上线和快速输出报告的需求。
我们协助客户在短时间内完成产品的部署和培训,并在一周内生成了符合MISRA标准的C语言合规报告。这一报告随后同步提交给最终用户,帮助客户实现及时、准确、合规的交付。
Q:还有其他行业的客户有类似需求吗?
此外,一些军工企业也寻求我们的帮助,因为他们对代码质量的提升有较高要求,近期的咨询较多。他们倾向于多语言的代码质量提升,并且更多地开发嵌入式项目,因此,我们通常会向他们推荐Klocwork。
有很多客户还处于沟通阶段。我们会积极与客户互动,并在了解其需求后与原厂进行反馈,帮助客户提前进行产品试用,通过试用来收取客户意见,以确定产品是否能够最终解决他们面临的整体问题。
