Emenda Logo

Klocwork

Klocwork : L’outil d’analyse statique le plus performant pour accélérer la mise sur le marché et livrer un code de qualité 

Klocwork est un outil d’analyse statique et SAST pour C, C++, C#, Java, JavaScript, Python et Kotlin permettant d’identifier les problèmes de sécurité, de qualité et de fiabilité des logiciels, contribuant ainsi à renforcer la conformité aux normes, tels que MISRA, Autosar et CERT .

Conçu pour les environnements DevOps et DevSecOps, Klocwork s’adapte à des projets de toutes tailles et s’intègre aux infrastructures complexes ainsi qu’à une large gamme d’outils de développement. Grace à ses fonctionnalités avancés, Klocwork s’impose comme l’outil d’analyse statique de référence, optimisant les temps de développement tout en assurant une conformité aux normes de sécurité et de qualité de code.

Klocwork : Analyse statique pour la détection des erreurs de programmations, failles de sécurité et violations de code.

Le moteur d’analyse de Klocwork est l’aboutissement de plus de 15 ans de recherche sur l’analyse statique. Au cœur de sa technologie se trouve la capacité de surveiller les cycles de vie des objets et de déduire leur comportement au moment de l’exécution sans exécuter le code. Cela permet d’identifier avec une grande précision un large éventail de problèmes de qualité, de fiabilité, de sécurité et de maintenabilité.

Nous contacter

Caractéristiques principales de Klocwork

Trouver les failles de sécurité avec SAST

Utilisez Klocwork Static Application Security Testing (SAST) dans le cadre DevOps (DevSecOps). Nos normes permettent d’identifier les vulnérabilités de sécurité, facilitant ainsi la détection et la résolution rapide des problèmes tout en assurant la conformité aux standards internationalement reconnus.

  • DevSecOps : Klocwork permet l’intégration avec les outils CI/CD, les conteneurs, les services cloud et l’approvisionnement des machines, facilitant ainsi l’automatisation des tests de sécurité.
  • Standards de sécurité :  CWEOWASPCERTPCI DSSDISA STIG, et ISO/IEC TS 17961.
  • Détection des vulnérabilités de sécurité : Injection SQL, données altérées, débordement de mémoire tampon, pratiques de codage vulnérables, et bien d’autres encore.
  • Détection des bugs, des problèmes de qualité et anomalies de code : Déférences/exceptions de pointeurs nuls, fuites de mémoire/ressources, exceptions non résolues, et bien d’autres encore.

Project Streams

Les Streams facilitent la gestion des bases de code partagées avec plusieurs variantes ou branches, en simplifiant la configuration des règles de projet, la gestion des problèmes, l’identification des défauts, la génération de rapports et le stockage efficace des données d’analyse.

La création de Streams offre les avantages suivants:

  • Affecter une seule configuration de règle de projet à toutes les variantes.
  • Les problèmes communs à plusieurs variantes sont automatiquement synchronisés et ne doivent être cités qu’une seule fois.
  • Identifier facilement les problèmes identiques dans plusieurs streams et les problèmes propres à un stream spécifique.
  • Générer des rapports sur les streams individuels à des fins de conformité, de sécurité fonctionnelle ou à d’autres fins probatoires.
  • Une organisation plus pratique et un stockage plus efficace des données d’analyse.

Prêt pour le DevOps

Les outils Klocwork sont conçus pour l’intégration continue  et la livraison continue, qui sont au cœur de nos préoccupations, facilitant ainsi l’intégration de l’analyse statique du code dans vos pipelines CI/CD.

Analyse différentielle En exploitant les données de contexte du système fournies par le serveur Klocwork, il est possible d’analyser uniquement les fichiers modifiés et de générer des résultats d’analyse différentielle, comme si l’ensemble du système avait été analysé. Cela permet d’obtenir les temps d’analyse les plus courts possibles.

Facile à automatiser : Les outils Klocwork offrent des lignes de commande standardisées, et les résultats des analyses sont accessibles via une API REST. Tous les formats de sortie utilisent des standards tels que XML, JSON et PDF.

Constructions en conteneur : Klocwork peut être exécuté dans des systèmes de construction conteneurisés et en cloud, et supporte le provisionnement d’instances de machines selon les besoins. Il offre une flexibilité maximale, permettant l’utilisation de services cloud internes ou externes pour l’analyse du code.

Contrôle, collaboration et rapports

La plateforme Klocwork Validate est un serveur centralisé qui regroupe les données d’analyse, les tendances, les mesures et les configurations pour l’ensemble des projets / code analysé (C/C++, Java, C#, JavaScript, Python, Kotlin) de votre organisation, accessible via un navigateur web.

Le tableau de bord est hautement personnalisable, permettant ainsi à vos développeurs, responsables et autres parties prenantes de :

  • Définir des objectifs de sécurité et d’assurance qualité globaux ou spécifiques à un projet, ainsi que des configurations de règles.
  • Contrôler les autorisations d’accès et les flux de travail d’approbation.
  • Visualiser les tendances et les données de mesure de la qualité et de la conformité des projets.
  • Produire des rapports de conformité et de sécurité.
  • Hiérarchiser les défauts en fonction de leur gravité, de leur emplacement et de leur cycle de vie.
  • Utilisez Smart Rank pour aider les développeurs à prioriser les correctifs en fonction de la probabilité de défaut, qui, combinée à la gravité du problème, fournit un score global de risque de vulnérabilité.
  • Distinguer les nouveaux problèmes des problèmes liés au code existant.
  • Transférer les problèmes en attente vers le système de suivi des bugs de votre organisation.
  • Importer et intégrer les résultats d’Helix QAC dans la plateforme Validate pour visualiser et gérer les résultats d’analyse consolidés dans un tableau de bord unique.

Conçu pour les développeurs

L’intégration de Klocwork avec vos autres outils de développement permet de détecter les défauts et ceci dès les phases d’écriture du code, facilitant ainsi l’adoption de l’outil par les développeurs tout en augmentant leur productivité

Configuration très simple : Klocwork supporte des centaines de compilateurs, facilitant ainsi son intégration dans l’environnement de développement.

Facile à utiliser : Intégration et plugins disponibles pour les IDE les plus populaires, tels que Microsoft Visual Studio, Eclipse, IntelliJ,

Que vous utilisiez Vim, Emacs, Notepad++ ou votre IDE préféré, Klocwork propose une solution adaptée à vos besoins.

Règles personnalisées : Vous pouvez intégrer vos règles de nommage ou de codage dans les solutions Klocwork à l’aide d’un outil dédié à la création de règles, fourni par Klocwork.

Klocwork devient ainsi une solution complète d’analyse statique : détection des bugs, identification des failles de sécurité, vérification des métriques, conformité aux standards (MISRA, Autosar, CERT…), et validation de vos règles de nommage et de codage.

Pour évaluer Klocwork directement dans votre environnement, veuillez nous contacter ici.