coverity价格|华克斯(在线咨询)|coverity

coverity主要特征

分析的深度和准确性

Synopsys静态分析与任何构建系统无缝集成，并生成源代码的高保真度表示，以确保深入了解其行为。

Synopsys Static Analysis提供全mian的路径覆盖，确保每行代码和每个潜在执行路径都被测试。它利用多项***技术来确保深入，coverity价格，准确的分析。

通过深入了解源代码和底层框架，Synopsys Static Analysis提供了高度精que的分析结果，因此开发人员不会浪费时间来管理大量的假阳性结果。这使他们能够有效地将安全性构建到开发生命周期中。

速度和分析规模

Synopsys静态分析从头开始构建，以适应现有的工作流程，具有以下功能：

并行分析允许Synopsys Static Analysis同时运行多达16个内核，并提供比串行分析高10倍的性能提升。

快速桌面分析仅通过重新分析已更改或受到更改影响的代码而不是每次的整个代码库来实现分析加速。

Synopsys Static Analysis可以容纳成千上万的地理分布式环境中的开发人员，coverity，可以轻松分析超过1亿行代码的项目。

高xiao问题管理与补救

通过Coverity Connect，平台的协作问题管理界面，开发人员可以访问可操作的信息和精que的修复指导，向他们展示解决缺陷的正确方法，并在代码中找到***jia的解决方案，而无需深入的安全域***知识。

Coverity Connect提供源代码导航，以确定缺陷的确切路径，并自动识别共享代码中缺陷的每次出现。

缺陷可以自动分配给适当的开发人员进行解决，用户可以快速查看所有未完成的安全问题，OWASP***问题，CWE和PCI相关问题。

软件开发生命周期（SDLC）集成

Synopsys Static Analysis允许快速集成用于支持开发过程的关键工具和系统，例如源代码管理，构建和持续集成，错误跟踪，coverity报价，集成开发环境（IDE）和应用程序生命周期管理（ALM）解决方案。

Synopsys静态分析是一个开放平台，允许开发人员将第三方分析结果导入工作流程，coverity，以单一视图的软件缺陷和风险，以相同的方式查看和管理所有类型的缺陷。

推动采用和减轻风险

Coverity Policy Manager使组织能够在开发团队中定义和执行一致的标准代码安全性以及质量和测试。它提供了哪些团队，项目或组件符合这些标准的可见性，并可以根据关于缺陷和测试的预定义标准创建可衡量的阶段门。 Coverity Policy Manager中的可定制视图允许选择符合嵌入式，企业级和移动应用程序特定目标的开发指标和阈值。

扩展漏洞检测

Coverity Extend是一个易于使用的软件开发工具包（SDK），允许开发人员检测到***的缺陷类型。 SDK是用于编写程序分析器或检查器的框架，它允许它们识别自定义或特定于域的缺陷。定制检查也有助于符合企业安全要求和行业标准或指南。

支持的语言和框架

C / C ++

JavaScript的

ASP .NET

Node.js的

迅速

C＃

PHP

Objective-C的

红宝石

Fortran语言

Java的

JSP

Android的

支持的平台

视窗

AIX

Linux的

HP-UX

Mac OS X

NetBSD的

的Solaris

FreeBSD的

一些支持的编译器

VisualDSP ++的

ARM C / C ++

Borland C ++

铛

宇宙C

飞思卡尔Codewarrior

GNU GCC / G ++

绿山C / C ++ / EC ++

高科技PICC

HP aCC

IAR C / C ++

IBM XLC

英特尔C ++

Keil编译器

Marvell MSA

QNX C / C ++

瑞萨C / C ++

SNC C / C ++

SNC GNU C / C ++

ORBIS SDK

PS4

意法半导体GNU C / C ++

意法半导体ST Micro C / C ++

S SUN（Oracle）CC

Synopsys Metaware C和C ++

TI代码作曲家

视觉工作室

风河C / ++

适用于Mac OS X的JDK

OpenJDK的

Sun / Oracle JDK

CEVA XC500

SDLC集成

SCM

AccuRev的

ClearCase的

CVS

混帐

Perforce公司

SVN

TFS SCM

IDE / CI

Android Studio

蚀

IBM RTC

的IntelliJ

QNX时刻

MS Visual Studio

风河工作台

詹金斯

TFS

问题追zong

JIRA

Bugzilla的

关键检查

API使用错误

***jia做法编码错误

构建系统问题

缓冲区溢出

类层次结构不一致

代码可维护性问题

并发数据访问违规

控制流程问题

跨站脚本（XSS）

跨站点请求伪zao（CSRF）

Coverity Scan

Project Spotlight: Python

Coverity Scan Service

Coverity软件诚信报告

Coverity Software Integrity Rating是开发人员，管理层和业务主管使用的客观标准

评估他们在其产品和系统中运送的代码的软件完整性级别。

封面评级要求是基于以下几个因素的评估：

?缺陷密度：对于给定的组件或代码库，静态发现的高风险和中等风险缺陷的数量

分析除以代码行分析。缺陷密度不包括固定缺陷，缺陷被解雇为假

积极的或故意的。例如，如果有一个静态分析发现有100个高风险和中等风险的缺陷

代码基数为100，000行代码，缺陷密度为每千行代码100 / 100，000 = 1个缺陷。

?主要严重缺陷：开发人员可以通过将其标记为“主要”，“中等”或“次要”来评估缺陷的严重程度

（自定义可能会影响这些标签）。我们认为所有严重等级为“Major”的缺陷是值得的

在完整性报告中报告，无论其风险级别如何，因为严重等级由a手动分配

审查缺陷的开发人员。

?假阳性率：如果缺陷报告不是真正的缺陷，开发商可以将缺陷报告标记为假阳性。我们考虑一下

假阳性率低于20％，为Coverity Static Analysis正常。 20％以上的假阳性率表示

可能的错误配置，错误检查，代码中使用不寻常的成语，或我们分析中的缺陷。

Coverity Integrity Level 1要求软件具有小于或等于每千线1个缺陷

的代码，大约是软件行业的平均缺陷密度。

Coverity Integrity Level 2要求软件小于等于0.1

每千行代码的缺陷，大约是第90个百分位数

软件行业。这是一个比1级要高得多的酒吧。一百万行

代码库必须有100个或更少的缺陷才能获得2级资格。

Coverity Integrity Level 3这是今天评级系统中***gao的一个。所有

需要满足以下三个标准：

?每千行代码的缺陷密度小于或等于0.01个缺陷，约为99

软件行业的百分位数。这意味着一个百万行代码库必须有十个或更少的缺陷

剩余。该要求没有指ding***，因为这可能会迫使几个杂散的释放延迟

静态分析缺陷不在关键组件中（否则放弃实现目标3级

发布）。

?假阳性率低于20％。如果比率较高，结果需要由Coverity进行审核才有资格

诚信评级水平。较高的假阳性率表示配置错误，使用不寻常的成语或不正确

诊断大量缺陷。 Coverity Static Analysis对大多数代码的误报率低于20％

因此，我们保留在超出此阈值时对误报进行审核的权利。

?用户将***标记为严重级别。每个缺陷的严重程度可以设置为Major，Moderate或Minor。

这个要求确保用户标记为“主要”的所有缺陷都是固定的，因为我们相信一旦有人

***已经适用，所有主要缺陷必须固定，才能达到3级。

级别未实现表示不符合目标级别标准。这意味着软件太多了

未解决的静态分析缺陷有资格达到所需的目标完整性水平。达到目标完整性水平

评级，更多缺陷应予以审查和修正。

如何使用您的软件完整性评级

为您的项目，产品和团队设置软件完整性标准。

开发人员和开发管理层往往难以客观地比较代码库，项目的完整性，

和产品。 Coverity软件完整性评估是一种创建“苹果对苹果”比较和推广的方式

成功开发团队始终如一地提供高度评价的软件代码和产品。开发团队也可以

使用这些评级作为客观证据来满足质量和安全标准的要求。

审核您的软件供应链。

企业对与其集成的供应商和合作伙伴的软件代码的完整性进行评估是很困难的

他们的产品。 Coverity软件完整性评估是帮助企业创建软件通用测量的一种方式

整个软件供应链的完整性。

促进您对软件完整性的承诺。

您的软件的完整性直接影响到您的品牌的完整性。展示您对软件的承诺

诚信是提升品牌价值的宝贵方式。它表示他们致力于提供安全的软件