Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
Statische Java-Analyse

Analyse des statischen Java-Codes

Unterstützt von Parasoft Jtest, der Testlösung für die Unternehmensentwicklung für Java

Static Code Analysis Tool zur Entwicklung zuverlässiger Java-Anwendungen

Parasoft Jtest überprüft die Java-Codequalität und überprüft die Einhaltung der Sicherheitsstandards (OWASP, CWE, CERT, PCI usw.), indem eine Vielzahl von statischen Analyseprüfern (1000+) angewendet und die umfassendsten statischen Code-Analysatoren verwendet werden jenseits von Open Source. Parasoft Jtest nutzt den zentralen Berichts- und Analyse-Hub von Parasoft mit seiner Process Intelligence Engine, um umfassende Einblicke in die Codequalität und das Risiko zu erhalten.

Wie funktioniert es?

Parasoft Jtest bietet einen umfassenden Satz statischer Analyseprüfer und Testtechniken, mit denen die Einhaltung von Sicherheitsstandards (OWASP, CWE, CERT, PCI usw.) und benutzerdefinierten Codierungsstandards (unter Verwendung integrierter oder benutzerdefinierter benutzerdefinierter Standards) überprüft werden kann Regeln), Laufzeitprobleme frühzeitig und ohne Ausführung von Code finden (z. B. Nullzeigerausnahmen, Array außerhalb der Grenzen), Codeduplizierung identifizieren und Komplexität und Codestruktur verstehen (Nutzung von mehr als 40 branchenüblichen Codemetriken).

Jtest verwendet eine hochmoderne Java-Code-Parsing-Engine, um den zu testenden Code zu analysieren und zu verstehen und Codefehler zu finden, die durch Regelverstöße angezeigt werden. Es wird mit über 1000 verschiedenen Prüfern geliefert, die allgemeine Best Practices (effektives Java, die Java-Programmiersprache) und Industriestandards (OWASP, CWE, CERT, PCI usw.) sowie spezielle Fehlersucher (z. B. Nullzeigerausnahmen) abdecken , Ressourcenlecks, Deadlocks, Division durch Null, Array außerhalb der Grenzen und mehr).

Damit Benutzer besser verstehen, welche statischen Analyseregeln verwendet werden sollen, organisiert Jtest Metadaten und ordnet sie den Regeln zu.

  • Integrierte Testkonfigurationen: Mit vordefinierten Regelsätzen können Benutzer schnell und bequem statische Analysen durchführen.
  • Regelkategorien: Jede Regel gehört zu einer Regelkategorie (z. B. Optimierung, Sicherheit, Ausnahmen, API), damit Benutzer schnell verstehen, wie Regeln ihren Testprioritäten zugute kommen können.
  • Schweregrad: Jeder Regel wird ein Schweregrad zugewiesen, damit Benutzer die möglichen Auswirkungen der Regelverletzung besser verstehen können.

Statische Code-Analyse kann in der IDE (Eclipse, IntelliJ, NetBeans) über die Befehlszeile oder mithilfe von Build-System-Plugins (Ant, Maven, Gradle) für Automatisierungs- und Continuous Integration-Szenarien ausgeführt werden. Auf die Ergebnisse der Analyse kann sofort zugegriffen werden (in der IDE oder mit HTML / XML / PDF-Berichten) oder von Parasofts Process Intelligence Engine für Nachbearbeitung, Berichterstellung und erweiterte Analyse abgerufen werden. Jtest bietet erweiterte Funktionen, um statische Analysen zu einem wartbaren Element des Entwicklungsprozesses zu machen, z. B. das Unterdrücken unerwünschter Ergebnisse, das Priorisieren und Zuweisen von Ergebnissen an Entwickler und vieles mehr.

Eigenschaften

Um Softwarefehler zu vermeiden, die in die Codebasis gelangen, analysiert Parasoft Jtest den Analysebaum in einer Datei und sucht nach Mustern, die schlechte Entwicklungspraktiken darstellen. Jtest macht gefährliche Pfade durch die Codebasis verfügbar, die zur Laufzeit zu Instabilitäten und Sicherheitsproblemen führen können, ohne alle diese Pfade programmgesteuert auszuführen. Durch die Analyse der Ausführungspfade durch den Code kann die statische Analyse von Jtest potenzielle Probleme zu Beginn der Entwicklungsphase erkennen, z. B. Nullzeigerausnahmen, Division durch Null, Probleme mit nicht gebundenen Arrays und mehr.

Um die Komplexität zu verwalten, hilft Ihnen Jtest beim Verstehen von Codemetriken. Jtest hilft Ihnen dabei, die Struktur / das Design Ihrer Codebasis zu verstehen und die Komplexität Ihrer Codebasis zu messen, und hilft Ihnen beim Verwalten, Festlegen von Schwellenwerten und Ergreifen von Maßnahmen, um potenzielle Wartungs-Albträume zu identifizieren.

Jtest identifiziert Fälle, in denen Code dupliziert wurde oder in denen der Code so ähnlich ist, dass Sie möglicherweise die Implementierung konsolidieren möchten. Auf diese Weise können Sie nicht nur ermitteln, wo Sie den Code möglicherweise umgestalten, um das Design zu verbessern, sondern auch den Wartungszyklus reduzieren, der mit Änderungen in der Codebasis verbunden ist.

Parasoft Jtest bietet eine Reihe integrierter Prüfer zur Überprüfung der Einhaltung von Standards wie OWASP Top 10 2017, CERT für Java, CWE-SANS Top 25 2011, PCI Data Security Standard 3.2 und mehr. Mithilfe von Codierungsstandards können Benutzer sichere und zuverlässige Web- / verteilte Anwendungen und Dienste erstellen.

Im kontinuierlichen Qualitätsmodus von Parasoft Jtest in der IDE (Eclipse, IntelliJ, NetBeans) analysiert Jtest den Code automatisch im Hintergrund (jedes Mal, wenn Sie auf Speichern klicken) und benachrichtigt Benutzer, wenn Fehler erkannt werden. Mit dieser Funktion erhalten Benutzer sofortiges Feedback, um Probleme so früh wie möglich zu erkennen.

Die anpassbare Codeanalyse von Jtest ermöglicht es Teams, organisationsspezifische Richtlinien und Codierungsstandards zu definieren. Mit dieser Flexibilität können Benutzer Regeln ein- und ausschalten (benutzerdefinierte Testkonfigurationen erstellen, die nur Regeln enthalten, die aus der Entwicklungsperspektive des Unternehmens relevant sind), vorhandene Regeln ändern (Regeln können parametrisiert werden, um den Entwicklungsanforderungen besser zu entsprechen) und völlig neue erstellen Benutzerdefinierte Regeln, ohne dass Code geschrieben werden muss, um integrierte Regeln zu erweitern (oder zu ersetzen).

Um die gleichen Entwicklungsstrategien im gesamten Unternehmen durchzusetzen, können diese benutzerdefinierten Testkonfigurationen und statischen Analyseregeln über die Quellcodeverwaltung für einzelne Projekte oder über eine zentralisierte Infrastruktur gemeinsam genutzt werden, damit verschiedene Teams denselben Codierungsstandards folgen können.

Benutzer von Parasoft Jtest können statische Analyseergebnisse direkt in der IDE (Eclipse, IntelliJ, NetBeans) überprüfen, die in den Ansichten Finding und Finding Details als umsetzbare Ergebnisse dargestellt werden. Die Analyseergebnisse können auch in der Process Intelligence Engine von Parasoft gesammelt und analysiert werden, um erweiterte Berichte, tiefere Einblicke und Zugriff auf Trends und historische Daten zu erhalten. Dies ist ein Schlüsselelement für die Beurteilung des Qualitätszustands des Projekts und die Bereitstellung von Daten für externe Parteien, z. B. Prüfer. Die Ergebnisse sind auch als HTML-, PDF- und benutzerdefinierte Erweiterungsberichte verfügbar.

Profitieren Sie vom Parasoft-Ansatz

Eine integrierte Lösung für Java-Qualität

Anstatt sich in andere Tools und Lösungen integrieren zu müssen, bietet Parasoft Jtest alles mit Unit-Tests, Codeabdeckung und einer leistungsstarken Verarbeitungs-Engine für Analyse und Berichterstellung. Die Funktionstest-Tools von Parasoft lassen sich auch problemlos für eine effiziente Testautomatisierung verbinden und bieten Benutzern alles, was sie zum Testen ihrer Java-Anwendung benötigen.

Tiefe Einblicke von Smart Analytics zur schnellen Risikobewertung

Im Gegensatz zu anderen kommerziellen oder Open-Source-Tools bietet Parasoft eine einzigartige Datenerfassungs- und Intelligenz-Engine, die anderen Produkten fehlt. Die Business Intelligence des aktuellen Produktstatus in Kombination mit Schlüsselindikatoren für das Risiko ermöglicht es Softwareteams, sich auf Schlüsselbereiche ihres Produkts zu konzentrieren. Ohne diese Funktion müssen Benutzer mehrere Berichtsprodukte von Drittanbietern erwerben und jedes einzelne Tool integrieren.

Sofortiges Analyse-Feedback direkt in der IDE

Mithilfe der einzigartigen Funktionen von Jtest in der IDE können Entwickler den kontinuierlichen Qualitätsmodus verwenden, um Jtest im Hintergrund arbeiten zu lassen. Jtest analysiert den Code automatisch und benachrichtigt Benutzer, wenn ein Fehler festgestellt wird, sodass Benutzer von sofortigem Feedback in ihrem Workflow profitieren können.