Codeanalyse: Klocwork 2020.3 prüft C# und Java akkurater

Das Perforce-Tool zur statischen Codeanalyse verspricht in der neuen Version mehr Performance, höhere Genauigkeit und eine neue Fehlererkennung.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Codeanalyse: Klocwork 2020.3 prüft C# und Java akkurater

(Bild: Carlos Amarillo/Shutterstock.com)

Lesezeit: 2 Min.

Perforce hat die ursprünglich von Rogue Wave entwickelte Codeanalysesoftware Klocwork auf Version 2020.3 aktualisiert. Das SAST-Tool für statische Sicherheitsanalyse von C, C++, C# und Java soll nach dem Update mit erweiterter Sprachunterstützung, mehr Leistung und höherer Genauigkeit punkten – darüber hinaus soll es eine neue Fehlererkennung enthalten. Insbesondere die Sprach-Engines für C# und Java wurden offenbar im Hinblick auf mehr Treffsicherheit überarbeitet.

Auf Basis der neuen Fehlererkennung soll die Engine für C# bis zu 3 Prozent effektiver beim Aufspüren von Defekten arbeiten, wie Perforce bei internen Tests mit Open-Source-Software ermittelt habe. Für komplexere Probleme stehen Entwicklern zudem individuelle Regeln für die syntaktische und interprozedurale Datenflussanalyse offen, die sich mit Klocwork Path erstellen und konfigurieren lassen.

Für Java-Code verspricht Perforce sogar bis zu 130 Prozent höhere Genauigkeit und eine um 2,5 Prozent verbesserte Fehlererkennung. Während das SAST-Tool mittlerweile die Spezifikationen von Java-9 vollständig unterstützt, sind die Standards bis Java-11 zumindest teilweise abgedeckt. Zu den von Klocwork 2020.3 neu unterstützten Sprach-Features zählen unter anderen das Java Platform Module System und private Methoden in Interfaces, aber auch Enums, Annotations und Lambda-Funktionen. Die Palette der kompatiblen Java-Frameworks ist auf insgesamt 13 angewachsen.

Unter den weiteren nennenswerten Änderungen im Update findet sich eine erweiterte Standardabdeckung der Sicherheitskodierung und Schwachstellenprüfungen für CWE, CERT und PCI DSS. Mit Blick auf eine tiefere Integration von Klocwork in Dev(Sec)Ops-Prozesse stehen Entwicklern darüber hinaus zwei neue Plug-ins zur Verfügung. Das Jenkins-Plug-in soll den Aufbau einer Security-Test-Pipeline vereinfachen, das CLion-IDE-Plug-in holt die Fehlererkennung auf den Desktop.

Einen vollständigen Überblick aller Neuerungen in Klocwork 2020.3 fassen der Blogbeitrag zur Ankündigung sowie die Release Notes zusammen.

(map)