试用SAST工具

       最近拿到库博SAST V4.3版本，看到这款工具支持MISRA系统全部标准、ISO 17961标准，国军标GJB 8114和5369等，采用缺失代码补偿技术，在不用编译通过情况依然达到很高的检测精度。在国外工具Checkmarx虽然也采用编译不通过情况下检测，但是却不支持C/C++语言的检测。而Coverity的C、C++语言检测能力强，但是对被检测代码要进行编译，如果编译失败或部分文件不能编译，则不能检测或检测精度明显下降。Cobot在编译不通过情况下的检测，弥补了这一点，通过代码补全技术，依然保持高的检出率。是无法拿到全部代码、或者缺失编译环境、以及逆向工程得到的伪C语言程序检测的有力工具。

       库博在C、C++语言的检测算法上，采用值依赖的数据流分析和控制流分析技术，能够准确定位C/C++语言中的各种运行时缺陷，例如数组越界、整数溢出、缓冲区溢出、双重加锁等等，相对于很多工具只能检测部分编码规范满足合规性而言，发现程序底层的只有在运行状态才能发现的缺陷对于客户而言是价值最高的。尤其很多客户采用C、C++开发，主要是运用在嵌入式设备中，上船、上星、上弹、上车等等，这些嵌入式软件规模不一定很大，但是确实支撑整个系统运行最重要的部分，如果出现Crash、异常退出将是严重灾难。

   

        国内C、C++程序采用的编译器种类较多，而Cobot工具本身带了将近20种常见的C、C++编译器，同时支持QT等框架。同时自己也可以添加自定义编译器。

库博工具作为国内最早的SAST自研工具，能够满足客户对于规则优化，自定义规则的需要。库博提供SDK库，支持客户二次开发检测规则。 同时，提供自定义规则接口，自己添加规则，或者让Cobot团队添加规则，真正达到减少误报的目的。又支持支持X86架构和ARM架构部署，支持国产化环境。在国内各个行业都有大量的客户。支持Devops平台集成，提供Jenkins等插件。