Perforce靜態(tài)分析工具2024.2新增功能：Helix QAC全新CI/CD集成支持、Klocwork分析引擎改進和安全增強

?

和Klocwork的最新版本對靜態(tài)分析工具進行了重大改進，通過盡早修復錯誤、降低開發(fā)成本和加快發(fā)布速度，使開發(fā)團隊實現(xiàn)左移。

本文中，我們將概述2024.2版本的新特性和新功能。

CI/CD和左移以實現(xiàn)持續(xù)合規(guī)性

現(xiàn)代軟件開發(fā)實踐要求開發(fā)團隊具備適應性，在確保代碼質(zhì)量和可靠性的同時，優(yōu)先考慮靈活性和協(xié)作性。在軟件開發(fā)流程中實施持續(xù)集成（CI）和持續(xù)交付（CD）流程，是現(xiàn)代DevOps實踐的關(guān)鍵。

在軟件開發(fā)生命周期（SDLC）的構(gòu)建和測試階段，持續(xù)集成（CI）至關(guān)重要。它使開發(fā)人員能夠識別問題、消除代碼沖突、保持儲存庫的代碼更新，并減少儲存庫提交瓶頸。

在CI構(gòu)建和自動化測試成功完成后，持續(xù)交付（CD）便開始進行。它幫助團隊在短時間內(nèi)生產(chǎn)軟件，以便測試變更并上傳到儲存庫。

靜態(tài)分析工具對自動化執(zhí)行CI/CD流程至關(guān)重要。開發(fā)人員可以使用靜態(tài)分析工具（如Helix QAC和Klocwork）來擴展CI/CD，并將測試左移至SDLC的早期階段，在編寫代碼時就能發(fā)現(xiàn)錯誤和違反標準規(guī)則的情況，以確保持續(xù)合規(guī)性，而無需執(zhí)行程序。

這些工具有諸多好處，例如用作質(zhì)量門，確保對代碼所做的任何變更都能集成到主線中，并順利通過CI構(gòu)建和測試，然后再進入開發(fā)的下一階段。此外，以Klocwork為例，還可以執(zhí)行差分靜態(tài)分析。由于Klocwork在集中式服務器中保存了全系統(tǒng)的代碼知識，所以它只需要分析新代碼和已更改的代碼。這就提供了盡可能短的分析時間，并加快了CI/CD流程。

Helix QAC 2024.2中新增的CI/CD集成支持

隨著Helix QAC 2024.2的推出，用戶可借助新增的Delta Analysis功能，通過Perforce Validate平臺獲得全面的CI/CD集成支持。這意味著開發(fā)人員現(xiàn)在可以管理CI/CD的分析結(jié)果，以識別新變更所帶來的任何缺陷。

以下是它的工作原理：

1.Helix QAC可為變更集生成Delta Analysis結(jié)果，作為新功能分支提交、合并請求或拉取請求的一部分。

2.然后，Helix QAC通過Validate平臺報告這些結(jié)果。

CI Delta結(jié)果

Helix QAC的CI/CD流程分析功能，使組織能夠更快地識別和溝通錯誤，而無需等待夜間構(gòu)建。

開發(fā)團隊還可以在桌面之外開展工作：將結(jié)果集成并發(fā)布到Validate中的分析數(shù)據(jù)、趨勢和指標的集中存儲區(qū)，供整個組織內(nèi)的用戶訪問。

CI 構(gòu)建

這種支持還擴展到在基于云的 CI 流水線中運行的分析作業(yè)、容器化構(gòu)建任務，以及通過內(nèi)置Web API集成到各種CI/CD平臺。這樣，開發(fā)團隊就可以在SDLC的早期階段發(fā)現(xiàn)并修復缺陷，從而更快地推向市場。

現(xiàn)代嵌入式開發(fā)：Klocwork 2024.2中的分析引擎改進和安全增強

隨著Klocwork的新版本發(fā)布，開發(fā)人員還獲得了現(xiàn)代軟件開發(fā)所需的改進功能和特性。Klocwork 2024.2為C/C++分析引擎帶來了顯著的準確性提升和性能改進。

這不僅擴展了對現(xiàn)代C和C++代碼結(jié)構(gòu)的語言支持，還引入了在 “現(xiàn)代模式” 下單獨運行分析引擎的選項。(注："現(xiàn)代模式”可能會因分析覆蓋率和理解能力的提高而導致結(jié)果發(fā)生更顯著的變化）。

這一新的現(xiàn)代功能帶來令人振奮的好處：

• 提高了C++17及更高版本的代碼覆蓋率和缺陷檢測能力。
• 降低假陽性（false positives）和假陰性（falsenegatives）率。
• 分析速度的提升高達25%。（* 基于內(nèi)部基準測試的開源項目）

2024.2版本還改進了開發(fā)人員所需的所有現(xiàn)代身份驗證功能，包括通過Validate平臺增強 Klocwork的安全性，使用安全斷言標記語言（SAML）和OpenID Connect（OIDC）。

這些更新通過集中式身份驗證增強了安全性，并通過單點登錄（SSO）幫助IT團隊簡化了用戶管理和用戶體驗。

近年來，隨著多因素身份驗證（MFA）成為標準安全實踐，用戶身份驗證也有了很大的發(fā)展。Perforce 靜態(tài)分析工具已做好準備，通過在新版本中實施身份驗證和密碼改進，繼續(xù)領(lǐng)先一步，迎接未來的安全挑戰(zhàn)。

為什么選擇Helix QAC和Klocwork？

Helix QAC是作為一款準確且精確的代碼分析工具，在嵌入式軟件開發(fā)行業(yè)中實現(xiàn)持續(xù)合規(guī)性具有顯著優(yōu)勢。2024.2版本引入的改進功能，進一步鞏固了Helix QAC的領(lǐng)先地位。

Klocwork 2024.2的新增改進措施，同樣鞏固了Klocwork作為首選SAST工具的地位，以實現(xiàn)大規(guī)模的持續(xù)合規(guī)性、安全性和質(zhì)量。它可與復雜的環(huán)境集成，為整個企業(yè)提供控制、協(xié)作和報告功能。