CodeSonar

CodeSonar
Разработчик(и)	CodeSecure, Inc.
Стабильный релиз	8.2 / 21 августа 2024 г. ; 5 месяцев назад ( 2024-08-21 )
Операционная система	Кроссплатформенный
Тип	статический анализ кода
Лицензия	Запатентованный

Инструмент статического анализа кода

CodeSonar — это инструмент статического анализа кода от CodeSecure, Inc. CodeSonar используется для поиска и исправления ошибок и уязвимостей безопасности ^[1] в исходном и двоичном коде. ^[2]^[3]^[4] Он выполняет межпроцедурный анализ всей программы с абстрактной интерпретацией на C , C++ , C# , Java , а также исполняемых двоичных файлах и библиотеках x86 и ARM . CodeSonar обычно используется командами, разрабатывающими или оценивающими программное обеспечение, для отслеживания его качества или уязвимостей безопасности. CodeSonar поддерживает хосты Linux , BSD , FreeBSD , NetBSD , MacOS и Windows , а также встроенные операционные системы и компиляторы.

CodeSonar предоставляет информацию по каждой обнаруженной уязвимости, включая трассировку исходного кода, которая могла бы вызвать ошибку, а также визуализацию дерева вызовов, которая показывает, как уязвимость связана с более широким приложением.

Соблюдение требований функциональной безопасности

CodeSonar поддерживает соответствие стандартам функциональной безопасности, таким как IEC 61508 , ISO 26262 , DO-178B/C или ISO/IEC TS 17961. Классы предупреждений CodeSonar также поддерживают несколько инициатив стандартов кодирования, ^[5] включая MITRE CWE , JPL, Power of 10, MISRA C/C++ и SEI CERT C.

Приложения

CodeSonar используется в оборонной/аэрокосмической, медицинской, промышленной, автомобильной, электронной, телекоммуникационной и транспортной отраслях. Некоторые известные примеры использования: FDA Center for Devices и Radiological Health используют его для обнаружения дефектов в полевых медицинских устройствах. ^[6]^[7] NHTSA и NASA использовали CodeSonar для изучения внезапного непреднамеренного ускорения в электронных системах управления дроссельной заслонкой автомобилей Toyota ^[8]^[9]

Поддерживаемые языки программирования, хост-платформы и компиляторы

Поддерживаемые языки программирования : C, C++, C#, Java, Python , анализ двоичного кода поддерживает Intel x86-32 , amd64 и ARM .

Поддерживаемые платформы : Microsoft Windows, Linux, FreeBSD, NetBSD, MacOS

Поддерживаемые компиляторы : Apple Xcode , ARM RealView, CodeWarrior , GNU C/C++ , Green Hills Compiler, HI-TECH Compiler, IAR Compiler, Intel C++ Compiler , Microsoft Visual Studio , Renesas Compiler, Sun C/C++, Texas Instruments CodeComposer, Wind River Compiler

Смотрите также

Список инструментов для статического анализа кода

Ссылки

^ Витек, Д. (2016). «Аудит кода на предмет уязвимостей безопасности с помощью CodeSonar». 2016 IEEE Cybersecurity Development (SecDev) . стр. 154. doi :10.1109/SecDev.2016.042. ISBN 978-1-5090-5589-0. S2CID 33024752.
^ Балакришнан, Гогул; Груян, Раду; Репс, Томас; Тейтельбаум, Тим (2005). "CodeSurfer/X86 — платформа для анализа исполняемых файлов x86". Конструкция компилятора . Конспект лекций по информатике. Том 3443. Springer. С. 250–254. doi : 10.1007 /978-3-540-31985-6_19 . ISBN 978-3-540-31985-6.
^ Гопан, Денис; Дрисколл, Эван; Нгуен, Дуксон; Найдич, Дмитрий; Логинов, Алексей; Мельски, Дэвид (2015). «Определение данных в двоичных файлах программного обеспечения и его применение для обнаружения переполнения буфера». Труды 37-й Международной конференции по программной инженерии — Том 1. ICSE '15. Флоренция, Италия: IEEE Press: 145–155 . ISBN 978-1-4799-1934-5.
^ Лим, Дж.; Репс, Т. (апрель 2008 г.). «Система генерации статических анализаторов для машинных инструкций» (PDF) . Proc. Int. Conf. on Compiler Construction . New York: Springer-Verlag.
^ Андерсон, П. (2008). Стандарты кодирования для высоконадежных встроенных систем . MILCOM 2008 - Конференция IEEE по военным коммуникациям. Сан-Диего, Калифорния. С. 1–7 . doi :10.1109/MILCOM.2008.4753206.
^ Куиннелл, Ричард А. (2008-03-06). "Статический анализ давит на ошибки". EETimes . Получено 2009-09-11 .
^ Jetley, Raoul Praful; Jones, Paul L.; Anderson, Paul (2008). "Статический анализ программного обеспечения медицинских устройств с использованием CodeSonar". Труды семинара 2008 года по статическому анализу . Тусон, Аризона: ACM. стр. 22–29 . doi :10.1145/1394504.1394507. ISBN 978-1-59593-924-1. S2CID 18152934.
^ Купман, П. (2014-09-18). "Исследование случая непреднамеренного ускорения Toyota и безопасности программного обеспечения" (PDF) . Университет Карнеги-Меллона . Получено 2019-09-12 .
^ Барр, Майкл (2011-03-01). "Непреднамеренное ускорение и другие ошибки встроенного программного обеспечения". Embedded Gurus . Получено 2019-09-11 .

Внешние ссылки

Страница продукта CodeSonar

[1] Витек, Д. (2016). «Аудит кода на предмет уязвимостей безопасности с помощью CodeSonar». 2016 IEEE Cybersecurity Development (SecDev) . стр. 154. doi :10.1109/SecDev.2016.042. ISBN 978-1-5090-5589-0. S2CID 33024752.

[2] Балакришнан, Гогул; Груян, Раду; Репс, Томас; Тейтельбаум, Тим (2005). "CodeSurfer/X86 — платформа для анализа исполняемых файлов x86". Конструкция компилятора . Конспект лекций по информатике. Том 3443. Springer. С. 250–254. doi : 10.1007 /978-3-540-31985-6_19 . ISBN 978-3-540-31985-6.

[3] Гопан, Денис; Дрисколл, Эван; Нгуен, Дуксон; Найдич, Дмитрий; Логинов, Алексей; Мельски, Дэвид (2015). «Определение данных в двоичных файлах программного обеспечения и его применение для обнаружения переполнения буфера». Труды 37-й Международной конференции по программной инженерии — Том 1. ICSE '15. Флоренция, Италия: IEEE Press: 145–155 . ISBN 978-1-4799-1934-5.

[4] Лим, Дж.; Репс, Т. (апрель 2008 г.). «Система генерации статических анализаторов для машинных инструкций» (PDF) . Proc. Int. Conf. on Compiler Construction . New York: Springer-Verlag.

[5] Андерсон, П. (2008). Стандарты кодирования для высоконадежных встроенных систем . MILCOM 2008 - Конференция IEEE по военным коммуникациям. Сан-Диего, Калифорния. С. 1–7 . doi :10.1109/MILCOM.2008.4753206.

[6] Куиннелл, Ричард А. (2008-03-06). "Статический анализ давит на ошибки". EETimes . Получено 2009-09-11 .

[7] Jetley, Raoul Praful; Jones, Paul L.; Anderson, Paul (2008). "Статический анализ программного обеспечения медицинских устройств с использованием CodeSonar". Труды семинара 2008 года по статическому анализу . Тусон, Аризона: ACM. стр. 22–29 . doi :10.1145/1394504.1394507. ISBN 978-1-59593-924-1. S2CID 18152934.

[8] Купман, П. (2014-09-18). "Исследование случая непреднамеренного ускорения Toyota и безопасности программного обеспечения" (PDF) . Университет Карнеги-Меллона . Получено 2019-09-12 .

[9] Барр, Майкл (2011-03-01). "Непреднамеренное ускорение и другие ошибки встроенного программного обеспечения". Embedded Gurus . Получено 2019-09-11 .