
analisi statica con CodeSonar
I team di sviluppo sono costantemente sotto pressione per fornire applicazioni sempre più complesse, in tempi più brevi, garantendo maggiore qualità e sicurezza. Static Application Security Testing (SAST) è una best practice per aiutare i team di sviluppo a fornire il codice migliore nel più breve tempo possibile.
GrammaTech è leader in questo campo da oltre 15 anni. Con CodeSonar fornisce funzionalità SAST multilingue per le aziende in cui la qualità e la sicurezza del software sono importanti.
"CodeSonar ci aiuta a ottenere la sicurezza del codice di cui abbiamo bisogno in modo efficiente, consentendo agli ingegneri di dedicare più tempo allo sviluppo di funzionalità nuove e innovative per i nostri clienti".
– Stoneridge, Inc.
DevSecOps: velocità e scalabilità
Gli sviluppatori software necessitano di feedback rapidi sulle vulnerabilità di sicurezza nel loro codice. CodeSonar può essere integrato in ambienti di sviluppo software, funziona in modo agevole per lo sviluppatore e fornisce un rapido feedback.
sicurezza funzionale
L’analisi statica è una tecnologia fondamentale per lo sviluppo di software che deve garantire elevati livelli di sicurezza funzionale. CodeSonar è pre-qualificato per i massimi livelli di sicurezza per gli standard IEC 61508, ISO 26262 e CENELEC EN 50128 di Exida. Sono inoltre disponibili artefatti per la qualificazione secondo DO-178C / DO-330.
Comprensione del codice
Trovare problemi non è sufficiente, lo sviluppatore deve anche capirne la tipologia. CodeSonar fornisce funzionalità complete di code understanding, aiutando gli sviluppatori a comprendere e risolvere rapidamente i problemi.
Linguaggi supportati
CodeSonar supporta molti linguaggi popolari, inclusi C/C++, Java, C# e Android, oltre al supporto per binari nativi nelle Instruction Set Architectures di Intel, ARM e PowerPC. CodeSonar supporta anche OASIS SARIF, per lo scambio di informazioni con altri strumenti nell’ambiente DevSecOps.
Sicurezza - Profondità di analisi
Gli strumenti SAST di GrammaTech utilizzano l’approccio di interpretazione astratta per esaminare staticamente tutte le possibili esecuzioni dell’applicazione e per comprendere i valori delle variabili e il modo in cui influenzano lo stato del programma.
Standard e framework
Supporto per MISRA-C e MISRA-C++, AUTOSAR C++-14, CERT, DISA STIG, OWASP, CWE e molti altri standard.
Introduzione a CodeSonar
CodeSonar esegue un'analisi unificata di dataflow e di esecuzione simbolica, che permette di esaminare la computazione dell'applicazione completa. Non basandosi su pattern matching o su approssimazioni simili, il motore di analisi statica di CodeSonar è straordinariamente profondo, trovando in media 3-5 volte più difetti rispetto ad altri strumenti di analisi statica.

1- descrizioni testuali
Descrizioni testuali semplici e chiare che descrivono il problema

2- visualizzazione del path
Lo sfondo ombreggiato e le annotazioni spiegano il percorso del difetto

3 - Visualizzazione di call tree
Per capire come una funzione si inserisce nell’applicazione
Principali benefici:
- Eliminare le vulnerabilità di sicurezza
- Rilevare e correggere i difetti multicore / multithread
- Aumentare la qualità e la trasparenza del codice con report personalizzati
- Verificare il rispetto dei coding standards e dei requisiti normativi
- Migliorare la comprensione del sistema con la visualizzazione del codice
- Ridurre il rischio di rilasciare software difettoso che può causare costi, danni e penalizzare il brand
- Migliorare la scalabilità e l'efficienza del team
integrazioni
CodeSonar è progettato per supportare team di grandi dimensioni. I difetti sono persistentemente tracciati tra le build, anche se il codice cambia. Possono essere cercati, annotati, classificati, assegnati e confrontati. Il supporto per molti strumenti di collaborazione viene fornito out of the box.







