在编码期间快速查找并修复重大安全问题和质量问题

概述Coverity® 为您提供开发高质量安全应用所需的速度、易用性、准确性、行业标准合规性及可扩展性。在早期开发阶段，即修复成本最低、修复难度最小的阶段，Coverity 便能随代码的编写及时识别出代码中严重的软件质量缺陷和安全漏洞。精确且可操作的补救建议和特定于上下文的 eLearning 在线学习指导，能够帮助贵公司的开发人员快速了解如何解决严重问题，而无需成为安全专家。Coverity 可将自动安全测试无缝集成到您的 CI/CD Pipeline 中，并支持您的现有开发工具和工作流。您可自由选择开发位置和方法：内部部署或使用基于云的高可扩展应用安全平台

“Polaris Software Integrity Platform ™ (SaaS)”在云端部署。Coverity 支持 20 种语言以及 70 多个框架和模板。

主要特性快速准确的分析• 借助Code Sight™ integrated development environment (IDE)插件，开发人员在

编写代码时只需花费几秒钟时间便可在 IDE 上获取准确的分析结果。高保真增量分析在后台自动运行，且与完整中央分析使用相同的 Coverity 分析引擎，从而确保结果的一致性和准确性。

• Coverity 可通过 IDE 为开发人员提供所需的全部信息，帮助他们了解如何修复已确定的问题 — 详细说明、类别、严重性、CWE 信息、缺陷位置、具体的补救指导和数据流跟踪等 — 同时提供问题分类和管理功能。

• Coverity 的“无构建分析”允许安全团队独立评估软件中的安全问题，无需构建软件。安全人员只需指定项目位置，Coverity 便可自动识别、下载并分析所有必需的依赖。

全面的报告及合规可视性Polaris 集成了 Synopsys 分析引擎，包括 Coverity 静态分析和 Black Duck® 软件成分分析工具以及 Synopsys 托管服务，从而可在软件开发生命周期（SDLC）的不同阶段就软件风险状况为企业提供整体视图。

• 安全团队可就整个应用组合获得有关风险状况的汇总信息。API 允许他们将结果导入至其他的风险报告工具。

• 您可逐类筛选已确定的漏洞、查看趋势报告、根据严重程度为漏洞修复分配优先级、同时跨越多个团队和项目来管理安全政策合规性（如 OWASP Top 10、CWE/SANS Top 25 和 PCI DSS）。

• “问题变化”报告可显示不同时段的问题严重程度，并且即时为您提供项目安全状况信息。PDF 报告下载功能允许审计人员维护具体的合规记录。

Coverity 静态分析解决方案

synopsys.com | 1

好处• 提 高 对 安 全 风 险 的 可 视 性。

跨产品报告使用一流的 SAST和 SCA 工 具 以 及 Synopsys托 管 服 务 来 提 供 有 关 项 目 风险的更完整的整体视图。

• 部署灵活性。您可决定对哪些项 目 开 展 AppSec 测 试： 内部项目还是云端项目。

• 及 早 开 展 安 全 测 试。 编 码 期间， 开 发 人 员 只 需 几 秒 钟 便可获得高保真增量分析结果，从 而 能 在 集 中 编 译 测 试 阶 段开始之前修复任何问题。

• 开 发 人 员 支 持。 您 可 为 开 发团 队 提 供 他 们 所 需 的 全 部 上下 文、 详 细 信 息 和 建 议， 以帮助他们了解如何解决问题，从而快速、轻松、合理地修复软件缺陷。

• 特定于上下文的在线学习（供eLearning 在 线 学 习 用 户 使用）。 可 针 对 开 发 者 自 有 代码 中 发 现 的 缺 陷 制 作 特 定 的通用缺陷列表 (CWE)，从而根据需要随时提供安全培训，无需开发人员成为安全专家。

此外，Coverity 还能针对 C/C++ 应用提供一流的代码质量问题检测功能，同时针对功能安全，信息安全以及可靠性的诸多标准提供最全面的覆盖（如 MISRA®、CERT C/C++、ISO/IEC TS 17961 和 AUTOSAR®）。

企业级可扩展性和敏捷性• 通过 Coverity on Polaris，企业无需安装并维护昂贵的本地设备，而是可以通过

弹性地扩展软件应用安全测试来满足不断增长的业务需求。• 如想安装 Polaris，您只需登录 URL、然后下载并安装命令行界面 (CLI) 即可。或者，

您也可以通过 CI 工作流来运行 Polaris，以开始分析源代码。• 由于 Coverity 分析引擎运行在高可用的云平台上，因此，Coverity on Polaris 可

通过轻松扩展来容纳数以千计的开发者和项目，并可在不影响高性能和可用性的情况下处理数百万个问题。

• Code Sight 插件无需配置，可从 Visual Studio、Eclipse、IntelliJ、WebStorm、PyCharm 和 RubyMine 网站直接下载。

软件开发生命周期（SDLC）集成• Coverity 可 与 IDE（ 如 Visual Studio、Eclipse、IntelliJ、RubyMine、Team

Foundation Server 和 Android Studio）、源代码管理 (SCM) 解决方案、问题跟踪工具（如 Jira 和 Bugzilla）、CI 构建工具 (Jenkins) 以及应用生命周期管理解决方案 (ALM) 集成。

• 内置的 REST API 可用于支持其他的构建自动化解决方案，并将分析结果导入至其他的企业或自定义工具。

• Coverity on Polaris 可以提供额外的插件与集成，允许您在开发和预部署阶段开展基于云的自动安全测试。

• 内置的 REST API 可用于将分析结果导入至安全和风险报告工具。如想了解更多信息，请参阅 Polaris 产品简介。

全面的问题管理仪表板• 除了为基于 IDE 的本地开发提供 Code Sight 外，Coverity on Polaris 基于 Web

的统一平台界面还能针对已确定的问题提供详细说明、类别、严重性、CWE 信息、缺陷位置、具体的补救指导、数据流跟踪、以及集中式问题分类和详细历史记录等支持，从而帮助开发人员修复该等问题。

• 开发经理可通过创建“问题变化”趋势图来显示整体安全风险及行业标准合规情况（如 OWASP Top 10 和 CWE/SANS Top 25），同时指导每名开发人员或整个项目团队合理修复高优先级问题。

• 您可轻松查看描述“业界认可优先级列表”、“5 类最关键问题”和“技术风险指标”的报告仪表板，从而集中精力去解决对贵公司而言最为重要的问题并为其分配优先级。

• 预定义的过滤器允许您根据 CWE、标准分类法、优先级列表、风险指标、路径以及相关产品的开发负责人等参数对问题进行过滤和分组。

扩展了标准合规与漏洞检测范围Coverity Extend 是一种易用的软件开发包 (SDK)，允许开发人员检测独有的缺陷类型。这个 SDK 是为编写程序分析器或检查器提供的一个框架，帮助他们识别自定义或特定领域的缺陷。Coverity CodeXM 是一种面向特定领域的函数式编程语言，使开发人员可以轻松地开发他们自己的自定义检查器。这些定制化检查器还有助于满足企业安全要求和行业标准或指导方针的合规要求。

synopsys.com | 2

支持的语言

支持的框架

• C/C++• C#• Java• JavaScript• PHP• Python

Java• Android SDK• Apache Shiro• Axis• DWR• Enterprise Java Beans (EJBs)• GWT• Hibernate• iBatis• Java Persistence API (JPA)• Javax.websocket• JAX RS• JAX WS• JEE• JSF/Facelets• JSP and JSP Standard Tag Library(JSTL)• Restlet• Spring Boot• Spring Framework• Struts• Terasoluna• Tiles• Vert.x• WS XML-RPC

C#• ASP.NET MVC• ASP.NET ASMX Web Services• ASP.NET Web API• ASP.NET Web Forms• ASP.NET Core• ASP.NET Core MVC• WCF Services• Razor 模板

Coverity 支持 70 多种不同的 Java、JavaScript 及 C ＃等语言框架。Coverity 还支持主要云提供商 API 框架的安全建模，用于构建可与 AWS Services（EC2、S3、DynamoDB 和 IAM）及 Google Cloud Storage API (GCP) 互动的云原生 JavaScript 应用。

• .NET Core• ASP.NET• Objective-C• Go• JSP• Ruby

JavaScript/TypeScript客户端• HTML5 DOM APIs / Ajax• jQuery• AngularJS• Angular• Vue• React / Preact• Backbone• Socket.IO• Bootstrap• Mithril• Swig

服务器端• Node.js / Tedious.js• Express• Hapi• Koa• Mean.io• SAP XS Classic and Advanced• Socket.IO• Vue 服务器端渲染• Angular 服务器端渲染 (Express 和Hapi 引擎 )• React 服务器端渲染 (Next.js)• Passport

模板引擎• Nunjucks• Consolidate• Haml• Marko• Hogan• Vision• Koa-views

• Swift• Fortran• Scala• VB.NET• iOS• TypeScript

支持 JS 模板 DA 的模板引擎• EJS• Handlebars• Swig• Pug• Jade

主流库支持• Underscore / Lodash• Axios• Sequelize• Request• Mongoose / MongoDB

PHP• Symfony

Python• Flask• Django

Ruby• Ruby on Rails

Coverity 静态分析解决方案技术规范

synopsys.com | 3

支持的平台• Windows• Linux• Mac OS X• Solaris• AIX• NetBSD• FreeBSD

SDLC 集成SCM• AccuRev• Apache Subversion (SVN)• CVS• Git• Mercurial (Hg)• Perforce Helix• Team Foundation Server SCM

IDE/CI• Android Studio• Eclipse• IBM Rational Team Concert• IntelliJ IDEA, WebStorm, RubyMine,

PhpStorm, PyCharm• MS Visual Studio• QNX Momentics• Team Foundation Server• Wind River Workbench• Jenkins

Code Sight 支持的 IDE• Visual Studio® for .NET, C#, C/C++,

JavaScript• Eclipse ™ 2019.03 (4.11) for Java,

JavaScript, C/C++• IntelliJ® 2019.1 for Java, JavaScript• WebStorm 2018.1–2019.1 for JavaScript

• PyCharm 2018.1–2019.1 for Python• RubyMine™ 2018.1–2019.1 for Ruby

问题跟踪• Jira• Bugzilla

支持的编译器• Analog Devices Blackfin• Analog Devices SHARC• Analog Devices TigerSHARC• ARM C/C++• Borland C++• CEVA-XC4500• Clang• Cosmic C• Freescale CodeWarrior• GNU GCC/G++• Green Hills C/C++/EC++• HI-TECH PICC• IAR C/C++• IBM AIX• IBM XLC• Intel C++• JDK for Mac OS X• Keil compilers• Marvell MSA• MPLAB XC8• OpenJDK• QNX C/C++• Renesas C/C++• SNC C/C++• SNC GNU C/C++• SONY PS4 SDK• STMicroelectronics GNU C/C++• STMicroelectronics ST Micro C/C++• Sun (Oracle) CC• Sun/Oracle JDK• Synopsys MetaWare C and C++

• TASKING for ARM Cortex• TI Code Composer• Visual Studio• Wind River C/C++• （此列表并未展示全部内容）

关键检查• API 使用错误• 最佳实践编码错误• 缓冲区溢出• 构建系统问题• 类层次不匹配• 代码可维护性问题• 并发数据访问冲突• 控制流问题• 跨站请求伪造（CSRF）• 跨站脚本（XSS）• 死锁• 错误处理问题• 硬编码凭证• 表达错误• 不安全的数据处理• 整数处理问题• 整数溢出• 内存 - 损坏• 内存 - 非法访问• 空指针引用• 路径操纵• 性能低效• 程序挂起• 竞态条件• 资源泄漏• 违规• 安全最佳实践违规• 安全配置错误• SQL 注入• 未初始化成员

©2019 Synopsys, Inc. 保留所有权利。Synopsys 是 Synopsys 公司在美国和其他国家的商标。有关 Synopsys 商标的列表，请访问：www.synopsys.com/copyright.html 。本文所提及的所有其他名称是其各自所有者的商标或注册商标。MISRA® 是 HORIBA MIRA Ltd 的注册商标。AUTOSAR® 是 AUTOSAR 公司的注册商标。

05/23/19.ds-coverity-static-analysis.

Synopsys 的与众不同之处Synopsys 帮助开发团队构建安全的、高质量的软件，在最大限度地提高速度和生产力的同时将风险降至最低。Synopsys 是应用安全领域公认的领导者，提供静态分析、软件成分分析和动态分析等各类解决方案，助力开发团队快速查找并修复专有代码、开源代码以及应用行为中的漏洞和缺陷。Synopsys 兼备业界领先的工具、服务和专业知识，只有 Synopsys 能够帮助企业在 DevSecOps 乃至整个软件开发生命周期中优化安全性和质量。

有关详细信息，请访问 www.synopsys.com/software。

Synopsys, Inc.185 Berry Street, Suite 6500San Francisco, CA 94107 USA

美国销售：800.873.8193国际销售：+1 415.321.5237电子邮件：sig-info@synopsys.com