安全漏洞检测与排除
Klocwork 确信软件安全性是软件质量中一个重要的、并越来越受重视的方面。同样的,所有的 Klocwork 安全漏洞分析是基于我们市场领先的缺陷检测能力,从原来的缺陷检测分离出来单独的安全漏洞检测和违反推荐的安全代码最佳实践的缺陷检测。
Klocwork 检测的安全漏洞列表项数以百计,但可以归结为如下的较高层次的分类:
C/C++ 安全漏洞分类 |
Java 安全漏洞分类 |
访问问题 |
拒绝服务 |
缓冲区一处 |
注入缺陷(如: SQL 注入) |
DNS 欺骗 |
未经验证的输入 |
忽略返回值 |
移动代码安全 |
注入缺陷 |
有漏洞的会话管理 |
不安全的存储 |
跨站点脚本 |
未经验证的用户输入 |
出错处理不当 |
|
有漏洞的访问控制 |
Klocwork K7 的 Java 安全漏洞分析涵盖了 OWASP 十大安全漏洞列表中内容。这保证了经过 K7 的分析扫描,基于 Web 的 Java 应用程序会检测到能够造成 OWASP 十大安全漏洞中 A1 、 A2 、 A3 、 A4 、 A5 、 A6 、 A7 、 A9 的问题。
所有的安全漏洞都能在“第 0 时间 ”报告,“第 0 时间”就是成本效率最高的缺陷纠正时间。请参考 开发人员 IDE 集成 。
Klocwork 报告的每个安全漏洞都提供有详细的信息:缺陷描述、安全漏洞与风险、代码实例、推荐的减轻和保护措施。