提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:郑恭琳|2021-02-26 14:47:38.263|阅读 161 次
概述:静态分析或静态应用程序安全测试(SAST)工具是在开发过程的最早阶段发现代码库中缺陷的强大方法。但是,用于执行该测试的工具是钝器。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
静态分析或静态应用程序安全测试(SAST)工具是在开发过程的最早阶段发现代码库中缺陷的强大方法。但是,用于执行该测试的工具是钝器。
SAST工具提供了直接用于工具的数据量。我认为它是SOOT。
调查结果需要审核或审查。而且经常是从一个人那里手动分类。即使是出于善意,人类也无法跟上步伐,而且往往不知所措。
由于它提供的信息量很大,工程师最终只是错过了静态分析工具发现的一些最重要的漏洞,因为这些缺陷隐藏在所有噪声(或SOOT)中。
没有任何额外的过程,开发人员将获得大量静态分析结果,但是他们不知道该把精力集中在哪里。发现的违规数量如此之大,以至于忽略和修复问题一样有用。
在筛选此类SOOT数据时,您试图找到有意义的信息-您可以处理和精炼的菱形。但这仅占您数据的10%。当您尝试减少噪声量(也称为假阳性比率)时会出现麻烦。为了消除错误的读数,您需要一个可以轻松调整和配置用于特定环境的工具,同时降低对人工智慧和监督的依赖。
误报的发生可能有多种原因。要了解有关误报及其可能造成的混乱的更多信息,请阅读《静态代码分析中的误报》。
所有SAST工具都始于您选择正确的检查器集和配置,以与各种类型的代码库(包括旧代码)一起正常工作,并指定违例严重性和缺陷分类。
正确的设置是基于安全准则,可能的法规以及您在现场遇到或预期会发生的问题之类的。然后进行配置以考虑您的框架,上下文,旧代码等,有助于产生更有用的结果。这些检查程序通常具有基本的默认严重性,以简化优先级。
利用本地代码,构建,编码样式和框架的上下文,您可以自定义系统中的规则和配置,以定义静态分析工具将报告的值和阈值。Parasoft通过使用风险模型来完善您应关注的领域来超越此范围。
使用风险模型
风险模型提供了一种客观的方法,可以帮助确定代码缺陷的可利用性,弱点,普遍性和可检测性的影响。以及它可能对应用程序产生什么样的影响。结果是要确保能够优先考虑易于发现和利用的漏洞的更大范围。通过结合严重性模型和风险模型,Parasoft工具可以确定问题的严重程度,同时提供建议的措施。
使用Parasoft静态代码分析工具,您将获得一个解决方案,该解决方案可挖掘大量静态分析结果,从而为您提供希望作用的希望钻石大小的珠宝。通过在相关风险的上下文中考虑严重性的概念,Parasoft工具可以应用来自行业标准安全模型(如CERT,CWE或OWASP)的数据,并将其直接带入报告和分析仪表板。
通过考虑多种风险模型,我们可以将上下文注入您的静态分析结果中,从而使您可以专注于大型钻石,而无需手动滤除所有烟灰,而不必担心您可能遗漏了什么(假阴性)。
通过利用人工智能(AI)和机器学习(ML)技术,Parasoft静态分析工具可以识别所有发现的违规现象之间的热点和交集,因此您可以将精力集中在代码库中,这是造成许多违规的根本原因其他问题。更好的是,ML监视并学习您自己的开发团队的行为,以区分重要和不重要。
根据开发团队的历史行为来训练您的AI模型,可对发现进行多维分析,而ML则对数据进行聚类以识别相关,相关或相似的违规行为。结合这两种技术,您可以获得更好的结果。可以了解到哪些假阳性结果可以忽略,哪些真阳性结果可以突出显示,从而可以将大量信息缩减为几颗非常有价值的钻石。
例如,静态分析可以揭示典型代码库中成千上万的违规情况,尽管您可能能够识别出数百个要解决的缺陷,但您将无法在所有时间内修复所有问题。通过AI和ML查找违规热点,您可以通过识别导致所有问题的单个代码来同时修复多个缺陷。
培训人们使用静态分析工具通常被视为一个问题。它需要对特定的编程语言有深刻的了解才能获得最大的收益。因此,Parasoft静态分析解决方案具有集成的培训,教育和认证计划,可帮助您的开发人员快速掌握最新情况,从而可以最大程度地减少报告的误报次数,并将他们的工作重点放在重要的工作上,而不是编写代码通过警告。
通过减少无关结果的数量,该工具的采用率将提高。只需培训您的团队,他们便无需进行任何挖掘即可获取所需的信息。如果您给开发人员提供三项要解决的事情,这些事情显然是高度优先和真实的,那么您获得的采用要好于为他们提供300次违规行为,而仅解决30个值得解决的缺陷。而且,如果他们的手干净了,他们会很乐意一次又一次地使用该工具。它是值得信赖的顾问和工具,而不是上面令人讨厌的过程。
无论您的静态分析有多少自动化,总会有手动分类的元素。问题是,在找到有价值的东西之前,您必须走多远。但是,借助包含风险元数据的工具以及配备了AI和ML的工具,可以更加有效地发现和修复缺陷,您可以在软件开发生命周期开始时快速解决违规问题,以构建安全可靠的软件。
掌握贸易的SAST工具
找出最重要的违反AI和ML的行为
使SAST培训轻松愉快
总结
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft Jtest用于应用软件开发的集成Java测试工具
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
Parasoft Insure++针对C和C++应用程序的运行时内存泄漏检测和内存调试
Parasoft DTP开发测试平台,通过在SDLC中持续应用软件质量最佳实践降低了商务风险
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@capbkgr.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢