Klocwork是一款专为企业级DevOps和DevSecOps设计的静态代码分析和SAST工具,支持多种编程语言,包括C、C++、C#、Java、JavaScript、Python和Kotlin。它能够识别软件中的安全漏洞、质量问题和代码异味,帮助开发团队在早期发现并修复这些问题,从而确保代码符合国际认可的安全标准。
Klocwork的关键特性包括使用静态应用安全测试(SAST)进行DevSecOps,集成CI/CD工具、容器、云服务和机器配置,使自动化安全测试变得简单。它支持多种安全标准,如CWE、OWASP、CERT、PCI DSS、DISA STIG和ISO/IEC TS 17961,并能检测SQL注入、污染数据、缓冲区溢出等安全漏洞。
此外,Klocwork还提供了项目流管理功能,简化了共享代码库的多变体或分支管理,通过简化项目规则配置、问题管理、缺陷引用、报告和分析数据的高效存储,提高了开发效率。
Klocwork工具设计时考虑了持续集成和持续交付(CI/CD),使其易于将静态代码分析作为CI/CD管道的一部分。它支持差异分析,仅分析更改的文件,同时提供整个系统的差异分析结果,从而提供最短的分析时间。
Klocwork还提供了控制、协作和报告功能,通过Klocwork Validate平台,开发人员、经理和其他利益相关者可以定义全局或项目特定的QA和安全目标,控制访问权限和审批流程,查看项目质量和合规性的趋势和指标数据,生成合规性和安全报告。
Klocwork旨在通过无缝集成静态代码分析与开发工具集,左移缺陷检测,提高开发人员的采用率,作为开发人员培训和提升生产力的工具。它提供了无需用户配置的即插即用支持,易于使用的IDE插件,以及详细的反馈和帮助,使开发人员能够快速理解和修复缺陷。
Klocwork还支持自定义规则和架构分析,进一步丰富了学习机会,提高了代码库的整体质量和可维护性。
