?

和Klocwork的最新版本對(duì)靜態(tài)分析工具進(jìn)行了重大改進(jìn)，通過(guò)盡早修復(fù)錯(cuò)誤、降低開發(fā)成本和加快發(fā)布速度，使開發(fā)團(tuán)隊(duì)實(shí)現(xiàn)左移。

本文中，我們將概述2024.2版本的新特性和新功能。

CI/CD和左移以實(shí)現(xiàn)持續(xù)合規(guī)性

現(xiàn)代軟件開發(fā)實(shí)踐要求開發(fā)團(tuán)隊(duì)具備適應(yīng)性，在確保代碼質(zhì)量和可靠性的同時(shí)，優(yōu)先考慮靈活性和協(xié)作性。在軟件開發(fā)流程中實(shí)施持續(xù)集成（CI）和持續(xù)交付（CD）流程，是現(xiàn)代DevOps實(shí)踐的關(guān)鍵。

在軟件開發(fā)生命周期（SDLC）的構(gòu)建和測(cè)試階段，持續(xù)集成（CI）至關(guān)重要。它使開發(fā)人員能夠識(shí)別問(wèn)題、消除代碼沖突、保持儲(chǔ)存庫(kù)的代碼更新，并減少儲(chǔ)存庫(kù)提交瓶頸。

在CI構(gòu)建和自動(dòng)化測(cè)試成功完成后，持續(xù)交付（CD）便開始進(jìn)行。它幫助團(tuán)隊(duì)在短時(shí)間內(nèi)生產(chǎn)軟件，以便測(cè)試變更并上傳到儲(chǔ)存庫(kù)。

靜態(tài)分析工具對(duì)自動(dòng)化執(zhí)行CI/CD流程至關(guān)重要。開發(fā)人員可以使用靜態(tài)分析工具（如Helix QAC和Klocwork）來(lái)擴(kuò)展CI/CD，并將測(cè)試左移至SDLC的早期階段，在編寫代碼時(shí)就能發(fā)現(xiàn)錯(cuò)誤和違反標(biāo)準(zhǔn)規(guī)則的情況，以確保持續(xù)合規(guī)性，而無(wú)需執(zhí)行程序。

這些工具有諸多好處，例如用作質(zhì)量門，確保對(duì)代碼所做的任何變更都能集成到主線中，并順利通過(guò)CI構(gòu)建和測(cè)試，然后再進(jìn)入開發(fā)的下一階段。此外，以Klocwork為例，還可以執(zhí)行差分靜態(tài)分析。由于Klocwork在集中式服務(wù)器中保存了全系統(tǒng)的代碼知識(shí)，所以它只需要分析新代碼和已更改的代碼。這就提供了盡可能短的分析時(shí)間，并加快了CI/CD流程。

Helix QAC 2024.2中新增的CI/CD集成支持

隨著Helix QAC 2024.2的推出，用戶可借助新增的Delta Analysis功能，通過(guò)Perforce Validate平臺(tái)獲得全面的CI/CD集成支持。這意味著開發(fā)人員現(xiàn)在可以管理CI/CD的分析結(jié)果，以識(shí)別新變更所帶來(lái)的任何缺陷。

以下是它的工作原理：

1.Helix QAC可為變更集生成Delta Analysis結(jié)果，作為新功能分支提交、合并請(qǐng)求或拉取請(qǐng)求的一部分。

2.然后，Helix QAC通過(guò)Validate平臺(tái)報(bào)告這些結(jié)果。

CI Delta結(jié)果

Helix QAC的CI/CD流程分析功能，使組織能夠更快地識(shí)別和溝通錯(cuò)誤，而無(wú)需等待夜間構(gòu)建。

開發(fā)團(tuán)隊(duì)還可以在桌面之外開展工作：將結(jié)果集成并發(fā)布到Validate中的分析數(shù)據(jù)、趨勢(shì)和指標(biāo)的集中存儲(chǔ)區(qū)，供整個(gè)組織內(nèi)的用戶訪問(wèn)。

CI 構(gòu)建

這種支持還擴(kuò)展到在基于云的 CI 流水線中運(yùn)行的分析作業(yè)、容器化構(gòu)建任務(wù)，以及通過(guò)內(nèi)置Web API集成到各種CI/CD平臺(tái)。這樣，開發(fā)團(tuán)隊(duì)就可以在SDLC的早期階段發(fā)現(xiàn)并修復(fù)缺陷，從而更快地推向市場(chǎng)。

現(xiàn)代嵌入式開發(fā)：Klocwork 2024.2中的分析引擎改進(jìn)和安全增強(qiáng)

隨著Klocwork的新版本發(fā)布，開發(fā)人員還獲得了現(xiàn)代軟件開發(fā)所需的改進(jìn)功能和特性。Klocwork 2024.2為C/C++分析引擎帶來(lái)了顯著的準(zhǔn)確性提升和性能改進(jìn)。

這不僅擴(kuò)展了對(duì)現(xiàn)代C和C++代碼結(jié)構(gòu)的語(yǔ)言支持，還引入了在 “現(xiàn)代模式” 下單獨(dú)運(yùn)行分析引擎的選項(xiàng)。(注："現(xiàn)代模式”可能會(huì)因分析覆蓋率和理解能力的提高而導(dǎo)致結(jié)果發(fā)生更顯著的變化）。

這一新的現(xiàn)代功能帶來(lái)令人振奮的好處：

• 提高了C++17及更高版本的代碼覆蓋率和缺陷檢測(cè)能力。
• 降低假陽(yáng)性（false positives）和假陰性（falsenegatives）率。
• 分析速度的提升高達(dá)25%。（* 基于內(nèi)部基準(zhǔn)測(cè)試的開源項(xiàng)目）

2024.2版本還改進(jìn)了開發(fā)人員所需的所有現(xiàn)代身份驗(yàn)證功能，包括通過(guò)Validate平臺(tái)增強(qiáng) Klocwork的安全性，使用安全斷言標(biāo)記語(yǔ)言（SAML）和OpenID Connect（OIDC）。

這些更新通過(guò)集中式身份驗(yàn)證增強(qiáng)了安全性，并通過(guò)單點(diǎn)登錄（SSO）幫助IT團(tuán)隊(duì)簡(jiǎn)化了用戶管理和用戶體驗(yàn)。

近年來(lái)，隨著多因素身份驗(yàn)證（MFA）成為標(biāo)準(zhǔn)安全實(shí)踐，用戶身份驗(yàn)證也有了很大的發(fā)展。Perforce 靜態(tài)分析工具已做好準(zhǔn)備，通過(guò)在新版本中實(shí)施身份驗(yàn)證和密碼改進(jìn)，繼續(xù)領(lǐng)先一步，迎接未來(lái)的安全挑戰(zhàn)。

為什么選擇Helix QAC和Klocwork？

Helix QAC是作為一款準(zhǔn)確且精確的代碼分析工具，在嵌入式軟件開發(fā)行業(yè)中實(shí)現(xiàn)持續(xù)合規(guī)性具有顯著優(yōu)勢(shì)。2024.2版本引入的改進(jìn)功能，進(jìn)一步鞏固了Helix QAC的領(lǐng)先地位。

Klocwork 2024.2的新增改進(jìn)措施，同樣鞏固了Klocwork作為首選SAST工具的地位，以實(shí)現(xiàn)大規(guī)模的持續(xù)合規(guī)性、安全性和質(zhì)量。它可與復(fù)雜的環(huán)境集成，為整個(gè)企業(yè)提供控制、協(xié)作和報(bào)告功能。