代碼的靜態(tài)分析不能夠找出所有的問(wèn)題，有些時(shí)候漏洞存在于建構(gòu)過(guò)程中。

軟件開發(fā)的過(guò)程具有多個(gè)層次。在最基本的層面是程序員寫的代碼，這些代碼接下來(lái)會(huì)被建構(gòu)系統(tǒng)編譯，建構(gòu)系統(tǒng)將這些代碼集中在一起以備部署。代碼分析廠商Coverity現(xiàn)在正在擴(kuò)大其分析能力，期望超越靜態(tài)分析的層次以找出被構(gòu)建系統(tǒng)忽視的漏洞。

新的分析模式有助于減少應(yīng)用程序中的軟件缺陷。Coverity的新系統(tǒng)首先會(huì)提供給自己的商業(yè)客戶但是也會(huì)放到已經(jīng)從開源軟件中減少了8500個(gè)軟件缺陷的開源掃描中。

Coverity的首席技術(shù)官Ben Chelf稱，建構(gòu)系統(tǒng)本質(zhì)上是代碼的裝配線，它將寫好的代碼集中到一起。通過(guò)分析建構(gòu)系統(tǒng)，我們會(huì)找到不同于以往分析代碼本身的一些東西。

他還解釋稱，建構(gòu)分析軟件會(huì)監(jiān)視軟件的建構(gòu)過(guò)程，而不是分析分析實(shí)際建立配置文件本身。

Coverity所做的是讓每一個(gè)建構(gòu)系統(tǒng)都具備的監(jiān)視功能向操作系統(tǒng)發(fā)出調(diào)用，并執(zhí)行該操作，這樣所有的信息都會(huì)處于監(jiān)視之中。所以 Coverity擁有超過(guò)80個(gè)不同的系統(tǒng)調(diào)用來(lái)獲取建構(gòu)信息，然后只需讓一個(gè)包裝腳本監(jiān)視就可以了。這樣以來(lái)，就可以建立可靠的圖表了。

開源掃描

Coverity從2006年開始就為軟件缺陷進(jìn)行開源代碼的掃描。起初，Coverity Scan 是由美國(guó)國(guó)土安全部支持的，但是現(xiàn)在=這項(xiàng)工作由Coverity自己運(yùn)行并提供資金上的支持。Coverity Scan著眼于幾百個(gè)開源項(xiàng)目，旨在幫助我們尋找并修復(fù)軟件瑕疵。

Chelf指出該計(jì)劃旨在盡快向開源掃描添加建構(gòu)分析儀，盡管他并未告知具體的實(shí)施時(shí)間。Chelf說(shuō)：“這想計(jì)劃一直在我們的開源掃描的路線圖之中，實(shí)施只是時(shí)間安排上的問(wèn)題。Chelf認(rèn)為Coverity建構(gòu)分析系統(tǒng)是在代碼分析市場(chǎng)中將占據(jù)一席之地。

在這之外，Coverity的競(jìng)爭(zhēng)對(duì)手Klocwork聲稱他們現(xiàn)在也可以建立類似的建構(gòu)分析系統(tǒng)?！艾F(xiàn)在，我們的大多數(shù)建構(gòu)分析技術(shù)都用來(lái)為客戶的建構(gòu)系統(tǒng)提供自動(dòng)化的查找服務(wù)以便能有效而準(zhǔn)確地分析代碼?！盞locwork的營(yíng)銷總監(jiān)Brendan Harrison說(shuō)，“對(duì)于代碼深度分析來(lái)說(shuō)，這是一項(xiàng)必不可少的功能。此外，我們過(guò)去曾合作的許多用戶都使用我們的分析功能并通過(guò)結(jié)構(gòu)化的代碼清理來(lái)優(yōu)化自己的建構(gòu)過(guò)程?！?/P>

防止開源攻擊

Coverity建構(gòu)系統(tǒng)也能讓開發(fā)人員確保自己編寫的代碼沒有在無(wú)意中為攻擊大開方便之門。

Chelf解釋稱，在與Palamida的軟件合作過(guò)程中，一個(gè)程序員可以檢查整個(gè)建構(gòu)過(guò)程以識(shí)別是否在開源代碼中存在可以被攻擊的缺陷。Palamida保存了更新的開源數(shù)據(jù)庫(kù)和應(yīng)用程序，并且如果有舊的，具有潛在威脅的開源代碼被使用時(shí)，它會(huì)監(jiān)測(cè)出來(lái)。

來(lái)自Coverity的新型代碼分析由新的Coverity整合中心執(zhí)行，該中心旨在將各種代碼分析的片段聯(lián)系起來(lái)，為開發(fā)人員提供全新的認(rèn)識(shí)。作為 Coverity防護(hù)代碼分析(用來(lái)進(jìn)行靜態(tài)代碼分析和新的建構(gòu)分析)的伙伴，整合中心也可以實(shí)現(xiàn)今年早些時(shí)候推出的架構(gòu)分析。

“有多種不同的分析軟件的系統(tǒng)，從架構(gòu)角度，從建構(gòu)角度已經(jīng)從代碼角度，”Chelf說(shuō)，“我們可以選擇任何喜歡的方式。所有這些不同的角度都能幫助我們以不同的方式找到軟件中的漏洞?！?BR>

【編輯推薦】

1. Linux系統(tǒng)下配置Netware服務(wù)器方法
2. 嵌入式設(shè)備上的 Linux 系統(tǒng)開發(fā)
3. 深度介紹Linux內(nèi)核是如何工作的(1)