SOLUTION


Synopsys Coverity Static Analysis 제품 개요 

Coverity®는 개발자가 안전하고 우수한 애플리케이션을 쉽고, 빠르고, 정확하고, 업계 표준의 컴플라이언스를 준수하며, 확장 가능하게 개발할 수 있도록 지원합니다. Coverity는 비용이 적게 들고 쉽게 수정 작업이 가능한 개발 프로세스 초기에 코드 작성 과정에서 중대한 소프트웨어 품질 결함과 보안 취약점을 식별해 냅니다. 개발자는 보안 전문가가 될 필요 없이 바로 적용 가능한 정확한 교정 지침과 케이스별 이러닝을 통해 우선 순위가 지정된 이슈들을 신속하게 수정할 수 있습니다. Coverity는 CI/CD(지속적 통합과 지속적 전달) 파이프라인에 자동화된 보안 테스팅을 완벽하게 통합시키고 기존의 개발 도구와 워크플로우를 지원합니다. 온프레미스 또는 클라우드, 어떤 방식으로든 고 확장성을 지원하는 클라우드 기반 애플리케이션 보안 플랫폼인 Polaris Software Integrity PlatformTM(SaaS) 통해 개발을 진행할 수 있습니다. Coverity는 20개의 언어와 70가지 이상의 프레임워크 및 템플릿을 지원합니다.


Synopsys Coverity Static Analysis 제품 주요 특징 

신속하고 정확한 분석
  • 통합 개발 환경(IDE) 플러그인 Code Sight™를 통해, 개발자들은 IDE 상에서 코드 작성 시 수 초 내에 정확한 분석을 얻을 수 있습니다. 높은 성능의 증분 분석 기능(incremental analysis)이 백그라운드에서 자동으로 실행되며 전체 중앙 분석(full central analysis)시 사용되는 동일한 포괄적 Coverity 분석 엔진을 통해 일관성 있고 정확한 결과를 제공합니다.
  • Coverity는 개발자에게 IDE상에 이슈 선별 및 관리 기능을 제공하며, 식별된 이슈를 수정하는데 필요한 모든 정보 즉, 상세한 설명, 카테고리, 심각도, CWE 정보, 결함 발생 위치, 상세한 교정 지침, 데이터 플로우 추적 기능을 제공합니다.
  • Coverity의 “빌드 없는 분석(analysis without build)” 기능을 통해 보안팀은 코드를 빌드하지 않고도 개별적으로 보안 이슈를 평가할 수 있습니다. 프로젝트의 위치를 지정 하기만 하면 Coverity는 자동적으로 모든 의존관계(dependencies)를 식별하고 다운로드하고 분석합니다.

포괄적인 리포팅과 컴플라이언스 가시성 제공

Polaris는 Coverity 정적분석(Static Analysis), Black Duck® 소프트웨어 구성 분석 (Software Composition Analysis), Synopsys Managed Services로 구성된 Synopsys 분석 엔진을 통합하고 있어, 기업은 소프트웨어 개발 수명 주기(SDLC)의 각 단계에서 애플리케이션의 위험 상황을 전체적으로 파악할 수 있습니다.


  • 보안 팀은 전체 애플리케이션 포트폴리오에 대한 종합적인 리스크 프로파일을 얻을 수 있습니다. API를 통해 다른 리스크 리포팅 도구에서 그 결과를 가져올 수 있습니다.
  • 식별된 보안 취약점을 카테고리 별로 필터링할 수 있으며, 트렌드 리포트를 볼 수 있으며, 보안 취약점 교정 조치를 위험도에 따라 우선순위를 지정할 수 있고, 팀과 프로젝트 전반에서 보안 정책 컴플라이언스(예: OWASP Top 10, CWE/SANS Top 25, PCI DSS)를 관리할 수 있습니다.
  • “시간 경과에 따른 이슈(issues over time)” 리포트는 여러 시간 범위에 대한 심각도 수준을 제시하며, 프로젝트의 보안 태세에 대한 즉각적인 정보를 제공합니다. 감사 담당자는 상세한 컴플라이언스 기록을 유지하기 위해 PDF 리포트를 다운로드할 수 있습니다.


또한, Coverity는 C/C++ 코드 품질 이슈에 대한 업계 최고의 식별 기능과 안전, 보안, 신뢰성과 관련된 표준(예: MISRA®, CERT C/C++, ISO/IEC TS 17961, AUTOSAR®)에 대한 포괄적인 커버리지를 제공합니다. 


폭 넓은 표준 컴플라이언스와 보안 취약점 탐지

Coverity Extend는 사용이 간편한 SDK(소프트웨어 개발 키트)로서 개발자가 고유한 결함 유형을 탐지할 수 있게 지원합니다. 이 SDK는 사용자 정의 결함이나 도메인별 결함을 식별할 수 있는 프로그램 분석기(또는 체커)를 작성할 수 있게 마련된 프레임 워크입니다. Coverity CodeXM은 도메인에 특화된 함수형 프로그래밍 언어로서 개발자가 본인만의 커스텀 체커를 손쉽게 작성할 수 있도록 도와줍니다. 맞춤형 체커는 기업 보안 요구 사항과 업계 표준 또는 가이드라인에 대한 컴플라이언스를 지원합니다.


Synopsys Coverity Static Analysis 제품 주요 이점 

보안 위험에 대한 높은 가시성

크로스 프로덕트 리포팅 기능은 업계 최고의 SAST 및 SCA 도구와 Synopsys Managed Services를 통해 프로젝트 리스크에 대한 전체적이고 완전한 뷰를 제공합니다. 


유연한 배포 가능

AppSec 테스트를 실행할 프로젝트 세트를 결정하고 이를 온-프레미스 환경에서 또는 클라우드 환경에서 테스트를 수행할 수 있습니다. 


개발 초기에 보안 테스트 수행

개발자는 코드를 작성하며 수 초안에 높은 정확도의 증분 분석 결과를 얻을 수 있으므로, 빌드-테스트 단계 전에 모든 이슈를 수정할 수 있습니다. 


개발 지원

개발팀은 이슈를 수정하는 방법을 이해하는데 필요한 모든 컨텍스트, 세부 사항, 조언을 제공받아 소프트웨어 결함을 빠르고, 쉽고, 정확하게 수정할 수 있습니다. 


상황 별 e-Learning

(e-Learning 이용 고객 대상) 개발자는 언제든지 필요 시 자신의 코드에서 식별된 CWE와 관련한 보안 교육 컨텐츠를 이용할 수 있습니다. 개발자가 보안 전문 인력이 될 필요는 없습니다.

제품 및 기술관련 문의

제품구입 및 기술관련 문의는 아래의 연락처로 연락 주시면 빠르고 친철하게 답변 드리겠습니다.

전화번호 : 02-857-5844 / E-mail : sales@tigkorea.com

서울시 영등포구 경인로 775(문래동3가)
에이스하이테크시티 1동 815호
전화 : 02-857-5844 / 팩스 : 02-857-5845
대표자 : 허진석 / 개인정보관리책임자 : 송대혁
사업자등록번호 : 119-86-60344