КодСонар
| Разработчик(и) | Компания CodeSecure , Inc. |
|---|---|
| Стабильная версия | 7.3
/ 8 мая 2023 г |
| Операционная система | Кросс-платформенный |
| Тип | статический анализ кода |
| Лицензия | Собственный |
CodeSonar — это инструмент статического анализа кода от CodeSecure , Inc. CodeSonar используется для поиска и исправления ошибок и уязвимостей безопасности. [1] в исходном и двоичном коде. [2] [3] [4] Он выполняет полнопрограммный межпроцедурный анализ с интерпретацией абстрактной C , C++ , C# , Java , а также x86 и ARM двоичных исполняемых файлов и библиотек . CodeSonar обычно используется командами, разрабатывающими или оценивающими программное обеспечение для отслеживания недостатков качества или безопасности. CodeSonar поддерживает хосты Linux , BSD , FreeBSD , NetBSD , MacOS и Windows , а также встроенные операционные системы и компиляторы.
CodeSonar предоставляет информацию о каждой обнаруженной уязвимости, включая трассировку исходного кода, которая вызвала ошибку, а также визуализацию дерева вызовов, показывающую, как уязвимость связана с более широким приложением.
Соответствие функциональной безопасности
[ редактировать ]CodeSonar поддерживает соответствие стандартам функциональной безопасности, таким как IEC 61508 , ISO 26262 , DO-178B/C или ISO/IEC TS 17961. Классы предупреждений CodeSonar также поддерживают несколько инициатив по стандартизации кодирования, [5] MITRE включая CWE , JPL, Power of 10, MISRA C/C++ и SEI CERT C.
Приложения
[ редактировать ]CodeSonar используется в оборонной/аэрокосмической, медицинской, промышленной, автомобильной, электронной, телекоммуникационной и транспортной отраслях. Некоторые хорошо известные случаи использования: Центр устройств FDA и радиологическое здоровье используют его для обнаружения дефектов в полевых медицинских устройствах. [6] [7] НАБДД и НАСА использовали CodeSonar для изучения внезапного непреднамеренного ускорения в электронных системах управления дроссельной заслонкой автомобилей Toyota. [8] [9]
Поддерживаемые языки программирования, хост-платформы и компиляторы
[ редактировать ]Поддерживаемые языки программирования : C, C++, C#, Java, Python , анализ двоичного кода поддерживает Intel x86-32 , amd64 и ARM .
Поддерживаемые платформы : Microsoft Windows, Linux, FreeBSD, NetBSD, MacOS.
Поддерживаемые компиляторы : Apple Xcode , ARM RealView, CodeWarrior , GNU C/C++ , компилятор Green Hills, компилятор HI-TECH, компилятор IAR, компилятор Intel C++ , Microsoft Visual Studio , компилятор Renesas, Sun C/C++, Texas Instruments CodeComposer, Wind River Компилятор
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Витек, Д. (2016). «Аудит кода на наличие уязвимостей безопасности с помощью CodeSonar». 2016 г. IEEE по развитию кибербезопасности (SecDev) . п. 154. дои : 10.1109/SecDev.2016.042 . ISBN 978-1-5090-5589-0 . S2CID 33024752 .
- ^ Балакришнан, Гогул; Груян, Раду; Репс, Томас; Тейтельбаум, Тим (2005). «CodeSurfer/X86 — платформа для анализа исполняемых файлов x86». Конструкция компилятора . Конспекты лекций по информатике. Том. 3443. Спрингер. стр. 250–254. дои : 10.1007/978-3-540-31985-6_19 . ISBN 978-3-540-31985-6 .
- ^ Гопан, Денис; Дрисколл, Эван; Нгуен, Дусон; Найдич, Дмитрий; Логинов, Алексей; Мельски, Дэвид (2015). «Разграничение данных в двоичных файлах программного обеспечения и его применение для обнаружения переполнения буфера» . Материалы 37-й Международной конференции по программной инженерии. Том 1 . МЦБИ '15. Флоренция, Италия: IEEE Press: 145–155. ISBN 978-1-4799-1934-5 .
- ^ Лим, Дж.; Репс, Т. (апрель 2008 г.). «Система генерации статических анализаторов машинных инструкций» (PDF) . Учеб. Межд. Конф. по созданию компилятора . Нью-Йорк: Springer-Verlag.
- ^ Андерсон, П. (2008). Стандарты кодирования для встраиваемых систем высокой надежности . MILCOM 2008 - Конференция IEEE по военной связи. Сан-Диего, Калифорния. стр. 1–7. дои : 10.1109/MILCOM.2008.4753206 .
- ^ Куиннелл, Ричард А. (6 марта 2008 г.). «Статический анализ устраняет ошибки» . ЭТаймс . Проверено 11 сентября 2009 г.
- ^ Джетли, Рауль Прафул; Джонс, Пол Л.; Андерсон, Пол (2008). «Статический анализ программного обеспечения медицинского оборудования с использованием CodeSonar». Материалы семинара 2008 года по статическому анализу . Тусон, Аризона: ACM. стр. 22–29. дои : 10.1145/1394504.1394507 . ISBN 978-1-59593-924-1 . S2CID 18152934 .
- ^ Купман, П. (18 сентября 2014 г.). «Пример непреднамеренного ускорения Toyota и безопасности программного обеспечения» (PDF) . Университет Карнеги-Меллон . Проверено 12 сентября 2019 г.
- ^ Барр, Майкл (01 марта 2011 г.). «Непреднамеренное ускорение и другие ошибки встроенного программного обеспечения» . Встроенные гуру . Проверено 11 сентября 2019 г.