一款优秀的静态代码分析器,用于开发人员生产力提升、SAST 和 DevOps / DevSecOps

Klocwork静态代码分析和SAST工具适用于 C、C++、C#、Java、JavaScript、Python和Kotlin ,可识别软件安全性、质量和可靠性问题,帮助强制遵守标准。
Klocwork专为企业DevOps和DevSecOps构建,可扩展到任何规模的项目,与大型复杂环境、各种开发人员工具集成,并为整个企业提供控制、协作和报告, 这使得Klocwork成为静态分析器的上佳选择,它可以保持高开发速度,同时强制执行持续的安全和质量合规性。

安全、可靠的代码

C, C++, C#, Java, JavaScript, Python, Kotlin

DevSecOps和应用安全

速度、生产力和合规性

Perforce公司授权合作伙伴 — 龙智

为您提供Klocwork的咨询、试用、安装部署、培训、技术支持等服务

咨询服务

为您提供Klocwork的咨询、试用、安装部署、培训、技术支持等服务

产品试用

提供试用许可(不限项目数量),帮助您解答使用中的各种问题

安装部署

提供Klocwork的安装服务,并协助您在windows/Linux/MacOS等不同系统安装Klocwork的各个组件

培训服务

指导您的团队使用Klocwork进行C/C++,C#,Java等类型项目的分析

技术支持

由通过Klocwork认证的龙智专业技术团队为您技术支持

Klocwork主要功能

使用 SAST 查找安全漏洞

在DevOps (DevSecOps)中使用Klocwork 静态应用程序安全测试 (SAST),其安全标准识别安全漏洞——帮助早期发现和修复安全问题,并证明符合国际公认的安全标准。

DevSecOps:Klocwork与CI/CD工具、容器、云服务和机器配置集成,使自动化安全测试变得容易。

安全标准:CWE、OWASP、CERT、PCI DSS、DISA STIG 和 ISO/IEC TS 17961。

安全漏洞检测:SQL 注入、数据污染、缓冲区溢出、易受攻击的编码实践等等。

错误、质量问题和代码味道检测:空指针取消引用/异常、内存/资源泄漏、未捕获的异常等等。

项目流(Project Streams)

项目流通过简化项目规则配置、问题管理、缺陷引用、报告,以及分析数据的高效数据存储,为具有多个变体或分支的共享代码库提供了轻松管理。

创建流有以下好处:

  • 将单个项目规则配置分配给所有变量。
  • 多个变量的常见问题自动保持同步,只需要引用一次。
  • 轻松识别多个流中的相同问题和特定流特有的问题。
  • 为合规性、功能安全性或其他证据目的生成单个流的报告。
  • 更方便的组织和更高效的存储分析数据。

支持DevOps

差异分析: 通过Klocwork Server的系统上下文数据,在整系统已经分析完成后,可以仅分析已更改的文件,提供差异分析结果。这种方式可以尽可能减少分析耗时

易于自动化:Klocwork工具有通用的命令行界面,你可以通过REST API访问Klocwork缺陷数据。并且这些数据输出都采用了标准格式,例如XML,JSON和PDF。

容器化构建:Klocwork可以在容器化和云构建的系统中运行,并且支持按需提供机器实例。为能够使用内部云或者外部云服务进行代码分析提供最大限度的灵活性和机会。

 

管控、协作与报表

Klocwork合规性和应用程序安全测试 (CAST) 门户网站是整个组织代码库的分析数据、趋势、指标和配置的集中存储 —— 通过Web浏览器访问。

仪表板是高度可定制的,使你的开发人员、主管和其他相关人员能够:

  • 定义全局或特定项目的 QA 和安全目标以及规则配置。
  • 控制访问权限和审批工作流程。
  • 查看项目质量和合规性的趋势和指标数据。
  • 生成合规性和安全性报告。
  • 根据严重程度、位置和生命周期确定缺陷的优先级。
  • 使用 Smart Rank帮助开发人员根据缺陷可能性确定修复的优先级,结合问题严重性,提供整体漏洞风险评分。
  • 将新问题与历史遗留代码区分开来查看和管理
  • 将积压问题推送到变更控制系统。
  • 将Helix QAC调查结果导入并集成到Klocwork SAC,以便在单个仪表板中查看和管理综合分析结果。

为开发人员量身定做

通过将静态代码分析与你的开发工具集无缝集成,Klocwork将左移缺陷检测,并促使开发人员采用Klocwork作为培训和提高生产力的工具。

无用户配置:Klocwork为数百个编译器和交叉编译器提供开箱即用的支持,因此构建集成是自动的。

易于使用:为流行IDE(包括 Microsoft Visual Studio、Eclipse、IntelliJ 等)提供插件支持。

连接的桌面:使用连接的桌面插件可对本地代码更改在 IDE中立即提供差异分析结果。

详细的反馈和帮助:对于函数程序内部缺陷和编码违例情况按严重程度标记。对于每个缺陷和代码违例情况,你将收到详细的原因说明,并提供丰富的上下文相关帮助和补救指导,易于理解和学习。

此外,Klocwork还集成了 Secure Code Warrior,在你编写代码时提供许多常见开发语言的软件安全课程和培训工具。

自定义规则:图形化的自定义检查器创建工具可快速、简单地实施基于项目或组织特定规则——从而进一步丰富了学习机会。

架构分析:Klocwork 还与 Structure 101 等架构可视化和执行工具集成,让用户通过清晰和准确地查找依赖关系,进一步提高代码库的整体质量和可维护性。

“通过Klocwork,我们能够比传统的手动分析和测试更快地发现可能遗漏的问题,以及
找到错误。这使我们能够交付客户所期望的,并让我们引以为傲的,高质量软件。”

—SCM系统工程经理

行业领导者通过Klockwork交付高质量代码

Klocwork质量编码标准

使用Klocwork可以让遵守质量编码标准变得容易起来。
你可以通过以下这些合规性分类来加强编码标准。有利于在检测结果中,得到更少的误报和漏报。

防范

安全编码标准有助于保护你的代码免受潜在的网络威胁和其他编码漏洞的伤害。
(注意:旧版本的Klocwork可能无法提供完整的安全标准集。)

CERT

CWE

CWE Top25

OWASP

DISA STIG

PCI DSS

ISO/IEC TS 17961(C secure)

安全

安全标准有助于确保由你的代码驱动软件是可靠且功能安全的。
(注意:旧版本的 Klocwork可能无法提供完整的安全标准。)

MISRA C 2004

MISRA C 2012

MISRA C 2012 AMD 1

MISRA C 2012 AMD 2

MISRA C++ 2008

AUTOSAR C++ 14

JSF AV C++

质量

质量标准有助于确保你的代码是可靠无误的。(注意:旧版本的Klocwork可能无法提供完整的质量标准。)

NASA’s 10 Rules

Klockwork Quality

定制化

可以为 C、C++、C#、Java、JavaScript和 Python创建和自定义自己的规则或项目/业务编码标准。

建立您自己的标准

建立您自己的规则

谁在用Klocwork?

航空航天与国防领域

航空航天,国防和军事组织每天都使用嵌入式软件。确保软件安全,可靠至关重要。这使得开发人员为了确保开发出软件无任何缺陷,承担巨大的压力。
大型代码库和复杂的系统使这成为一个挑战。严格的合规性要求使其更加困难。借助 Klocwork,机载系统开发人员可以轻松验证其合规性并开发质量系统。

能源技术领域

能源和公用事业产品开发团队需要确保功能安全合规,符合行业法规以及减少潜在的安全漏洞和编码错误。对于团队而言,很可能是一个巨大的挑战。
借助Klocwork,能源和公用事业产品开发团队可以轻松遵守编码标准,识别潜在风险并了解代码合规性。

嵌入式开发领域

管理数字资产的增长对于高效设计开发嵌入式系统至关重要,所有这些过程都必须在严格的合规性准则下进行。对于质量要求严谨的行业,代码需要符合编码标准和行业需求。而且,Klocwork可以证明你的代码是合规的。

汽车行业领域

汽车软件开发需要超过1亿行代码。更重要的是,车内安装的嵌入式软件的开发通常独立于汽车的其它部分。
因此,开发团队必须能够有效地应对一系列独特的挑战。使用Klocwork,开发团队能够在项目上进行协作,并确保其代码的高质量并符合法规要求。

能源技术领域

嵌入医疗设备中的软件质量可能就决定着生与死。因此,对设备安全性的审查越来越严格。
通过使用Klocwork,你将能够满足不断变化的政府法规,并验证你的医疗设备是安全,可靠和高效的。

Klocwork支持的功能安全标准

通过 ISO、IEC 和 EN 合规认证

  • Klocwork 通过了独立的合规认证。
  • TÜV-SÜD 认证
  • Klocwork 已通过 TÜV-SÜD 认证,符合以下功能安全标准:
  • ISO 26262(汽车)达到 ASIL D 级
  • IEC 61508(一般工业)达到 SIL 4
  • EN 50128(铁路)达到 SW-SIL 4
  • IEC 62304(医疗设备)达到软件安全等级 C

通过ISO,IEC和EN合规认证

Klocwork经过独立认证,符合法规要求。

TüV-SüD认证

Klocwork已通过TüV-SüD认证,符合以下功能安全标准:

  • IEC 61508(通用行业)
  • ISO 26262(汽车)
  • IEC 62304(医学)
  • EN 50128(铁路)

Perforce中国授权合作伙伴 — 龙智

我们为您提供Klocwork产品的咨询、销售、实施部署、培训、运维、定制开发等一站式服务。

Previous slide
Next slide

Klocwork

Klocwork:一款优秀的静态代码分析器,用于开发人员生产力提升、SAST 和 DevOps / DevSecOps

Klocwork静态代码分析和SAST工具适用于 C、C++、C#、Java、JavaScript、Python和Kotlin ,可识别软件安全性、质量和可靠性问题,帮助强制遵守标准。
Klocwork专为企业DevOps和DevSecOps构建,可扩展到任何规模的项目,与大型复杂环境、各种开发人员工具集成,并为整个企业提供控制、协作和报告, 这使得Klocwork成为静态分析器的上佳选择,它可以保持高开发速度,同时强制执行持续的安全和质量合规性。

安全、可靠的代码

C, C++, C#, Java, JavaScript, Python, Kotlin

DevSecOps和应用安全

速度、生产力和合规性

Perforce公司授权合作伙伴 — 龙智

为您提供Klocwork的咨询、试用、安装部署、培训、技术支持等服务

咨询服务

根据您的行业和需求,为您提供Klocwork,Helix QAC等静态代码扫描工具的选型建议

产品试用

提供试用许可(不限项目数量),帮助您解答使用中的各种问题

安装部署

提供Klocwork的安装服务,并协助您在windows/Linux/MacOS等不同系统安装Klocwork的各个组件

培训服务

指导您的团队使用Klocwork进行C/C++,C#,Java等类型项目的分析

技术支持

由通过Klocwork认证的龙智专业技术团队为您技术支持

Klocwork主要功能

使用 SAST 查找安全漏洞

在DevOps (DevSecOps)中使用Klocwork 静态应用程序安全测试 (SAST),其安全标准识别安全漏洞——帮助早期发现和修复安全问题,并证明符合国际公认的安全标准。

DevSecOps:Klocwork与CI/CD工具、容器、云服务和机器配置集成,使自动化安全测试变得容易。

安全标准:CWE、OWASP、CERT、PCI DSS、DISA STIG 和 ISO/IEC TS 17961。

安全漏洞检测:SQL 注入、数据污染、缓冲区溢出、易受攻击的编码实践等等。

错误、质量问题和代码味道检测:空指针取消引用/异常、内存/资源泄漏、未捕获的异常等等。

项目流(Project Streams)

项目流通过简化项目规则配置、问题管理、缺陷引用、报告,以及分析数据的高效数据存储,为具有多个变体或分支的共享代码库提供了轻松管理。

创建流有以下好处:

  • 将单个项目规则配置分配给所有变量。
  • 多个变量的常见问题自动保持同步,只需要引用一次。
  • 轻松识别多个流中的相同问题和特定流特有的问题。
  • 为合规性、功能安全性或其他证据目的生成单个流的报告。
  • 更方便的组织和更高效的存储分析数据。

支持DevOps

差异分析: 通过Klocwork Server的系统上下文数据,在整系统已经分析完成后,可以仅分析已更改的文件,提供差异分析结果。这种方式可以尽可能减少分析耗时

易于自动化:Klocwork工具有通用的命令行界面,你可以通过REST API访问Klocwork缺陷数据。并且这些数据输出都采用了标准格式,例如XML,JSON和PDF。

容器化构建:Klocwork可以在容器化和云构建的系统中运行,并且支持按需提供机器实例。为能够使用内部云或者外部云服务进行代码分析提供最大限度的灵活性和机会。

 

管控、协作与报表

Klocwork合规性和应用程序安全测试 (CAST) 门户网站是整个组织代码库的分析数据、趋势、指标和配置的集中存储 —— 通过Web浏览器访问。

仪表板是高度可定制的,使你的开发人员、主管和其他相关人员能够:

  • 定义全局或特定项目的 QA 和安全目标以及规则配置。
  • 控制访问权限和审批工作流程。
  • 查看项目质量和合规性的趋势和指标数据。
  • 生成合规性和安全性报告。
  • 根据严重程度、位置和生命周期确定缺陷的优先级。
  • 使用 Smart Rank帮助开发人员根据缺陷可能性确定修复的优先级,结合问题严重性,提供整体漏洞风险评分。
  • 将新问题与历史遗留代码区分开来查看和管理
  • 将积压问题推送到变更控制系统。
  • 将Helix QAC调查结果导入并集成到Klocwork SAC,以便在单个仪表板中查看和管理综合分析结果。

为开发人员量身定做

通过将静态代码分析与你的开发工具集无缝集成,Klocwork将左移缺陷检测,并促使开发人员采用Klocwork作为培训和提高生产力的工具。

无用户配置:Klocwork为数百个编译器和交叉编译器提供开箱即用的支持,因此构建集成是自动的。

易于使用:为流行IDE(包括 Microsoft Visual Studio、Eclipse、IntelliJ 等)提供插件支持。

连接的桌面:使用连接的桌面插件可对本地代码更改在 IDE中立即提供差异分析结果。

详细的反馈和帮助:对于函数程序内部缺陷和编码违例情况按严重程度标记。对于每个缺陷和代码违例情况,你将收到详细的原因说明,并提供丰富的上下文相关帮助和补救指导,易于理解和学习。

此外,Klocwork还集成了 Secure Code Warrior,在你编写代码时提供许多常见开发语言的软件安全课程和培训工具。

自定义规则:图形化的自定义检查器创建工具可快速、简单地实施基于项目或组织特定规则——从而进一步丰富了学习机会。

架构分析:Klocwork 还与 Structure 101 等架构可视化和执行工具集成,让用户通过清晰和准确地查找依赖关系,进一步提高代码库的整体质量和可维护性。

“通过Klocwork,我们能够比传统的手动分析和测试更快地发现可能遗漏的问题,以及找到错误。这使我们能够交付客户所期望的,并让我们引以为傲的,高质量软件。”

—SCM系统工程经理

Klocwork质量编码标准

使用Klocwork可以让遵守质量编码标准变得容易起来。 你可以通过以下这些合规性分类来加强编码标准。有利于在检测结果中,得到更少的误报和漏报。

谁在用Klocwork?

航空航天与国防领域

航空航天,国防和军事组织每天都使用嵌入式软件。确保软件安全,可靠至关重要。这使得开发人员为了确保开发出软件无任何缺陷,承担巨大的压力。
大型代码库和复杂的系统使这成为一个挑战。严格的合规性要求使其更加困难。借助 Klocwork,机载系统开发人员可以轻松验证其合规性并开发质量系统。

能源技术领域

能源和公用事业产品开发团队需要确保功能安全合规,符合行业法规以及减少潜在的安全漏洞和编码错误。对于团队而言,很可能是一个巨大的挑战。
借助Klocwork,能源和公用事业产品开发团队可以轻松遵守编码标准,识别潜在风险并了解代码合规性。

嵌入式开发领域

管理数字资产的增长对于高效设计开发嵌入式系统至关重要,所有这些过程都必须在严格的合规性准则下进行。对于质量要求严谨的行业,代码需要符合编码标准和行业需求。而且,Klocwork可以证明你的代码是合规的。

汽车行业领域

汽车软件开发需要超过1亿行代码。更重要的是,车内安装的嵌入式软件的开发通常独立于汽车的其它部分。
因此,开发团队必须能够有效地应对一系列独特的挑战。使用Klocwork,开发团队能够在项目上进行协作,并确保其代码的高质量并符合法规要求。

能源技术领域

嵌入医疗设备中的软件质量可能就决定着生与死。因此,对设备安全性的审查越来越严格。
通过使用Klocwork,你将能够满足不断变化的政府法规,并验证你的医疗设备是安全,可靠和高效的。

Klocwork支持的功能安全标准

通过 ISO、IEC 和 EN 合规认证

  • Klocwork 通过了独立的合规认证。
  • TÜV-SÜD 认证
  • Klocwork 已通过 TÜV-SÜD 认证,符合以下功能安全标准:
  • ISO 26262(汽车)达到 ASIL D 级
  • IEC 61508(一般工业)达到 SIL 4
  • EN 50128(铁路)达到 SW-SIL 4
  • IEC 62304(医疗设备)达到软件安全等级 C

通过ISO,IEC和EN合规认证

Klocwork经过独立认证,符合法规要求。

TüV-SüD认证

Klocwork已通过TüV-SüD认证,符合以下功能安全标准:

  • IEC 61508(通用行业)
  • ISO 26262(汽车)
  • IEC 62304(医学)
  • EN 50128(铁路)

Perforce中国授权合作伙伴 — 龙智

我们为您提供Klocwork产品的咨询、销售、实施部署、培训、运维、定制开发等一站式服务。

Perforce解决方案

Perforce软件为DevOps全流程提供解决方案,着眼于整个技术生命周期,从质量、安全、合规、合作和速度等方面,帮助您提高竞争优势。