据悉,Coverity于10月9日宣布其开发测试平台新产品Coverity Security Advisor融合了创新的静态分析技术,能够帮助开发团队高效解决Java网络应用的安全缺陷。这一新产品的发布很大程度归功于Coverity研发团队与Coverity安全研究实验室的紧密合作,以及Coverity在静态分析技术方面核心实力和Coverity在缺陷检测领域的专利技术--精确的可扩展技术。
Coverity扩展了Static Analysis Verification Engine 静态分析验证引擎(Coverity SAVE?),深刻理解源代码和现代网络应用架构,提供更加准确的修复建议,协助开发者识别并修复导致常见漏洞的安全缺陷,包括SQL注入和跨站点脚本。从开发者角度出发,彻底分析现代网络应用。Coverity的新技术能够处理复杂的现代网络应用问题,帮助开发者采用静态应用安全测试,弥补第一代工具肤浅和完整之处。
Coverity的创新点包括:
◆增加了带有框架分析器的静态源代码分析技术,在数据通过应用框架时,将误差降到最低,以便最小化误报率。
◆静态分析中包含了模糊白盒测试工具,可以自动验证数据清理程序可以充分处理不可信数据数据并能够在合适的环境下执行。
◆提供针对具体缺陷的精确修复指导,以保证开发者能够理解修复安全缺陷的正确方法。
Coverity创始人之一 Andy Chou(Coverity CTO)表示"修复安全漏洞不仅需要在集成开发环境中整合静态测试技术,开发者要保证所有识别的缺陷都是真实的缺陷,并且理解如何在代码中修复这些缺陷""第一代静态分析工具在帮助开发者时存在着效率不高的问题,因为开发者无法提供上述信息。我们能够帮助开发者分析这一难题,更容易地找到并修复缺陷。
"我们理解开发--这是是Coverity的核心优势,"Coverity CEO Anthony Bettencourt说到"我们是静态分析市场的领导者,这一点毋庸置疑,尤其是在嵌入式软件质量和安全方面,我们拥有10多年的技术经验,并且我们的产品和服务广为开发者采用。同时,在网络安全市场推广此项技术是Coverity开发测试战略的自然延伸。大约有75%的安全袭击都发生在应用层面,因此在开发阶段解决应用安全问题至关重要。该项技术能为开发团队和安全团队的工作带来革命性的变革,两个团队将致力于推进安全问题的解决。
高德纳咨询公司研究副总裁Joseph Feiman博士以及Gartner Fellow在2011年11月29日发表的一份报告(应用安全测试:从单元到相互关联和相互作用)中表示,"为了将关键业务应用遭受攻击的风险降至最低,应用开发者和安全专家需要准确的技术测试解决类似SQL注入、跨站点脚本以及缓存区溢出这样的缺陷,而新一代的应用安全测试技术恰恰能够实现这一点。"
目前Coverity新技术已应用于Coverity Development Testing platform 6.5。