Coverity正版购买/价格/代理商/青穗软件

overity开启了开发测试服务，允许任何对开源软件质量感兴趣的人查看项目

来自美国山景城（加州）的消息：overity公司（新思科技公司的一个子公司）发布了2013年overity扫描开源软件报告。

经过overity扫描服务以及按照overity开发测试平台的商业惯例，报告中详细分析了关于7.5亿行开源软件代码的分析，这是至今报告研究的样本量。

在2013年overity扫描报告中，他们分析了超过700个/++开源项目和一个匿名的企业项目的样本。另外，报告中还强调了几个流行的开源Ja项目的分析结果，这些项目从2013年3月就加入了扫描服务。

overity扫描开源项目报告成为了一个被广泛接受的衡量开放源代码质量状态的标准。在过去8年时间里，overity扫描服务分析了超过1500个开源项目的数亿行代码——其中包括的/++项目中有NetBD, FreeBD，LibreOffie和Linux等，Ja项目中有Apahe Hadoop，HBae以及aandra等。

自2006年已来，扫描服务帮助发现和了超过94,000缺陷。仅在2013年一年就了近50,000个缺陷——这是扫描服务的用户在一年中缺陷的数量。在这些缺陷中，其中有超过11,000的缺陷出现在扫描服务中的四个项目：NetBD，FreeBD，LibreOffie和Linux。

2013年报告中重要发现包括：

/++项目中开源软件代码质量超过专有软件

缺陷密度（每1,000行软件代码所含的缺陷）是一个通用的测量软件质量的方法，缺陷密度1.0被认为是高质量软件的公认的行业标准。

overity的分析中发现，扫描服务中的开源的/++项目的平均缺陷密度为 0.59，而为企业项目开发的专有/++代码的缺陷密度为 0.72。在2013年，在所有不同大小的代码库中，扫描服务中的开源项目的代码质量超过专有项目，这进一步强调了开源社区开发测试的坚定的承诺。

Linux继续成为开源质量的基准

通过利用扫描服务，Linux将一个新发现的缺陷的时间从122少到仅6天！从2008年个overity扫描报告发布后，扫描过的Linux版本的缺陷密度一直小于1.0。在2013年，overity扫描了超过850万行Linux代码并发现缺陷密度为 0.61。

/了更多的高风险缺陷

overity分析报告发现贡献于开源Ja项目的的高风险缺陷的数量没有贡献于开源/++项目的的多。

参加扫描服务的Ja项目只了13%的被指出的资源而/++项目则了46%。这一方面可能是因为Ja编程社区错误的安全感的原因，这种安全感是因为内建于语言的保护，比如垃圾收集。然而，垃圾收集是不可预测的，而且不能访问系统资源，所以这些项目处于危险之中。

HBae是Ja项目的基准

overity分析了100个开源Ja项目的超过800万行代码，包括流行的大数据项目Apahe Hadoop 2.3 (320,000 行代码)和Apahe aandra (345,000 行代码)。

自从在2013年8月加入扫描服务以来，Apahe HBae (Hadoop的数据库了超过220个缺陷，其中包括比其他参加扫描服务Ja项目更高比例的资源HBae的缺陷中资源占的比例为66%，而其他项目平均为13%）。

“如果说软件正在吞食世界，那么开源软件则是带头冲锋，”overity的产品总监Zak amoha说，“我们的目标，包括overity扫描服务在内是帮助开源软件社区创作高质量的软件。基于这个报告的结果——以及这个日益流行的服务——使用开发测试的开源软件项目继续提升他们软件的质量，这让他们使整个行业更上一层楼。”

overity今天也宣布已经开放了overity扫描服务，允许任何对开源软件感兴趣的人查看参与项目的进展。个人现在可以成为项目观察者，这使他们可以跟踪扫描服务中相关开源软件的状态，查看数据包括未解决和已的缺陷的数目以及缺陷密度。

“我们看到了请求扫描服务的人数的指数增长，他们仅仅是要监控被发现和被的缺陷。在许多情况下，这些人工作于大型的企业组织，那些企业组织在商业项目中使用开源软件，”amoha补充说。“通过对个人开放扫描服务，我们提升了查看开源项目代码质量的新的可见度，他们的软件供应链中正包含这些项目。

2018/6/22 08:52

新思科技强调正视应用软件安全 新版overity五大亮点助防患于未然

114中国通信网  蒋均牧

114讯 6月22日专稿（蒋均牧）在展开应用软件开发之前，你或许先要找到一个帮助使能产品安全性的助手。

在全球数字化进程加快的同时，Faebook这样的数据问题正愈演愈烈，从软件开发这一源头进行风险及合规性的管控业已成为大势所趋。作为业界公认的软件安全测试新思科技公司（ynopy）以其的“贯穿软件开发生命周期（DL）”的软件安全理念以及周期全覆盖且性能强大的平台工具，已经帮助数以千计的企业防患于未然以及降本增效、缩短产品上市时间。

6月12，新思科技静态代码分析工具overity的版本201806正式发布。除了在前代版本功能基础上的增强和更新，overity 201806还可无缝关联新思科技全新的eLearning在线学习平台，并进一步强化了该公司“将检测阶段尽可能往左推（将检测更早地纳入软件开发过程）”的努力，给使用者带来的便利体验与协同效应。

正视应用软件安全

当越来越多的业务被运行于应用软件，软件本身的安全与否已经直接与个人、组织乃至社会的安全息相关。

尽管在数据安全上的投资不断增长，但一个令人沮丧的事实是个人信息和企业数据的事件有增无减，或许应当换种思路来应对。新思科技软件质量与安全部门（IG安全架构师杨国梁告诉114：“现在数据安全、隐私安全被谈论得比较多，但更应正式应用软件的安全。数据是一个结果，原因之一是处理数据的应用软件写得不够健壮、存在问题，从而被利用了。”

新思科技软件质量与安全部门专注的即是软件代码开发过程中的端到端安全，其所主打的overity致力于从源头开始规避风险，“在2B的阶段就把问题解决掉，而不是留到2时才发现”。

被调研机构Gartner和Forreter评为“静态应用安全测试”的overity优势何在？据介绍，它可以迅速分析超过一亿行的大型代码库，在软件出现漏洞、系统崩溃之前检测出潜在危险，大幅减少维修花销，帮助企业降低成本和风险。截至目前，已经有上千家企业受益于overity的强大功能。

在此背后，则是新思科技在技术上不遗余力的投入——近年来，这家技术驱动型的公司持续将30%以上的营收投入到研发之中，为业界所鲜有。而2016年正式成立的武汉研发中心overity团队也在此次升级中出力不小，按杨国梁的说法，目前在武汉有20多位新思科技工程师专门从事overity的开发，他们所负责的工作占据了相当比重。

overity 201806五大亮点

为帮助客户应对新时代层出不穷的变化与挑战，新思科技每年会对overity升级两次，以及不定时打一些补丁。overity 201806即是其一次版本更新，在硅谷与武汉进行了全球同步。

在杨国梁口中，overity 201806主要实现了五个方面的与提升。首先是关联了在线学习平台，方便研发人员参加相关培训课程、丰富工作所需知识；其次是增强了petre）安全漏洞检查功能，识别易受攻击的代码模式，新思科技亦是业界首批针对安全漏洞攻击提供源代码级安全监测的厂商；第三是新增或更新行业编码标准的支持，包括支持OWAP  10 2017、ERT ++、MIRA : 2012 T1以及DIA TIG，以帮助使用者更快开发符合行业标准的应用程序；第四是新增或更新对编码语言和框架的支持，提升了安全分析能力，可检测到Python、Ja和wift应用的更多漏洞；此外，overity 201806在性能上亦有大提升，能使大型代码库分析时间减少40%、静态分析数据库占用空间消耗降低10%-30%。

与eLearning的联动无疑是overity此次升级的惊喜，也体现了新思科技在提供更融合、更立体服务体验方面的努力。新思科技eLearning平台是一种以结果为导向、以学习者为中心的培训解决方案，提供沉浸式、持续的生态学习系统，将安全知识、培训课程以及案例介绍整合到一个直观的平台；它包含37种课程，广泛覆盖应用安全领域话题，比如风险分析、认证、安全标准、面向网络和移动应用的防御性编程、威胁建模和安全测试策略等。凭借该平台，应用安全教育变得简单、有的放矢且易于理解。

“这种关联并非‘1+1=2’那么简单，而是带来了价值的大提升。”一方面，overity得以能根据常见缺陷列表（WE，安全漏洞词典），为开发人员提供上下文相关的应用安全课程；另一方面，基于置信水平算法，专有漏洞分析工具可以将检测出来的漏洞与常见缺陷列表进行匹配，进而推荐相关的学习内容。

同时，随着软件开发和迭代的速度加快，新思科技正通过overity的不断更新“将检测阶段尽可能往左推”。杨国梁指出，在软件发布的后阶段再问题为困难，并将导致高昂的返工成本以及不必要的延误，overity 201806能够提供实时甚至预测性的检测，帮助使用者及早发现漏洞和进行从而在软件开发的初期就能避免失。

用了overity代码静态检测工具。功能很强大，超乎我的期望。主要功能如下：

列出不会被执行到的代码
列出没被初始化的类成员变量
列出没有获的异常
列出没有给出返回值的return语句
某个函数虽然有返回值，但调用该函数的地方没有用到它的返回值，这也会被列出来
列出没有被回收的new出来的对象
列出没有被关闭的句柄
到代码行，并提供逐层展开函数的功能
列出可能的数值类型溢出。例如，无符号int数做 ++ 操作，可能导致int溢出，都会被检测到。
什么地方该用&位运算，而不应该用|位运算，都能定位出来并作出建议
otream在一个函数中被修改了格式，但退出该函数之后没有将otream恢复成先前的格式，也会被检测到
……
貌似程序中的所有可能分支，所有new出来的对象何时被销毁，所有可能的异常是否被代码捕获，它都能扫描到。真不简单啊。

我用到的overity是部署在企业内部的，通过http页面的方式向程序员报告扫描的安全隐患。

具体的安全隐患页面很但有个缺点，点击一个eurity iue lit中的一个item进入子页面，而后再点浏览器的返回按钮后，不能返回先前的页面，而是返回所有eurity iue lit的个lit页面，在这点上，用户体验很糟糕，因为本来出来的列表就很长了，看的很晕了，返回页面又不是先前的页面，导致很多时间都花费在重新找寻先前的lit页面上了。

解决办法：

点击扫描列表上的"File"列标签，将扫描出来的列表按照文件排序，然后点击右上角的某个按钮，导出成.v格式文件。
用Exel打开.v文件，添加一列，记录状态，比如：Done, In progre, annoide 等等。
按照.v文件条目的顺序自上而下挨个处理。每做完一个条目，就更新对应的.v文件中对应行的新加列。
注意，每当要处理下一个条目时，从.v文件中opy出该条目的ID号，粘贴到overity页面的右上角的搜索栏中，搜索，并进入具体页面。这样做，可以免除上面提到的“因条目过多导致前进后退时迷失方向”的问题。

按照这样的方法，处理完所有的条目，会得到一个完整的条目状态列表。如果有未解决的条目的话，接下来就只关注这些条目。不会出现条目遗漏，也不会因条目过多而迷失方向。即安全又节省时间。

overity多次检测同样的代码（两次之间，被检测的代码有改动），不会覆盖先前的报告，即次检测得到的report item number还是有效的，不会被新的report item覆盖，搜索它仍然可以查看先前检测出来的问题。