不止于代码检测 鉴释通过“质量第一”提高开发者生产力

作者:李祥敬   【原创】   2019-09-04 09:05:54

关键字: 静态代码 开发者

鉴释提高了代码的审计、评估和缺陷检测的速度和准确性;通过使用高级静态分析技术帮助客户降低成本,提高生产力,并确保其软件开发人员具备相应的能力以开发更好、更可靠的软件。

至顶网软件与服务频道消息:为了减少测试与人工代码检查的工作量,企业一般利用静态代码分析工具来进行程序正确性和稳定性的检查。静态代码分析是利用词法分析、语法分析、抽象语法树分析以及语义分析等手段,检查代码中潜在错误的过程。该过程与动态分析相对应,不需要执行应用程序,直接通过对代码扫描发现隐含的程序问题,并给出一定的修改建议。

传统的静态代码分析是通过人工途径进行的。该方法既需要耗费大量的时间和人力,又很难保证检查结果的可信性。但是,软件的正确性和稳定性又十分重要。一旦发布后才发现Bug,应用程序就需要用户进行主动更新,会严重损害用户的使用体验。因此,自动化的代码检查工具就成为企业所迫切需要的解决方案。

鉴释成立于2018年,由拥有数十年开发经验的世界级软件专家创办。鉴释(Xcalibyte)的命名源于圣剑传奇“EXCALIBUR”,它是力量和目标的象征,也是鉴释团队一贯秉承的核心价值观。鉴释提高了代码的审计、评估和缺陷检测的速度和准确性;通过使用高级静态分析技术帮助客户降低成本,提高生产力,并确保其软件开发人员具备相应的能力以开发更好、更可靠的软件。

不止于代码检测 鉴释通过“质量第一”提高开发者生产力

在鉴释首席运营官赵科林(Colin Giles)看来,为了确保每天编写数千行代码的高质量和安全性,开发人员面临着越来越大的压力。在软件开发生命周期(SDLC)过程结束时进行验证测试,这样可以把漏洞数量减至最低,但这样会导致更多、更复杂的工作以及更高的成本。最好和最有效的方法是在组织中创建 “质量第一” 的思维模式,这与安全设计方针相结合,可确保质量和安全性能够嵌入到所有工作方式中。“公司需要将这种质量第一思维模式融入到公司文化中,并且注重软件开发速度和代码质量的恰当平衡。”

软件定义的时代

毋庸置疑,我们处于一个蓬勃发展的数字经济时代,各种应用层出不穷。赵科林此前在手机行业工作三十多年。他表示,以手机为例,早期整个行业致力于开发创新型硬件。但最近这十年,整个行业环境变化很大,围绕软件开发的各式各样的产品不断涌现。

其实除了手机行业,很多其他领域也正基于软件开发快速发展。比如现在你不再仅仅因为一辆汽车本身的硬件而购买,而是更多考虑汽车内部的软件应用。除此以外,像IoT物联网行业,随着互联网、5G以及软件的发展,越来越多的硬件设备被连接在一起,软件扮演了重要的角色。所以,现在很多行业的发展都是来自软件开发的驱动。

赵科林说,软件是产品创新的关键,而在软件开发过程中,质量和安全的重要性越来越受关注。当软件开发人员在开发产品时,他们需要更加关注产品质量甚至数据隐私。随着越来越多以软件为核心的产品被开发出来,软件行业在迅速发展。与此同时,越来越多的公司对高质量和更安全的软件需求上升,也会带来质量和安全市场的发展。

软件行业在快速发展,并且中国企业正越来越关注软件开发,他们对静态代码分析软件以及质量安全管控的需求会越来越高。而且中国的企业正在“走出去”,成为国际公司,提高国际竞争力。事实上他们更需要保证产品的质量、安全以及数据保护。为此,他们需要更严格的流程和更多的产品管控,以及需要拥有质量第一和安全第一的思维模式来确保产品能够遵守世界各地的不同标准,找到市场推广速度与产品质量之间的平衡点。

“中国在物联网IoT、人工智能AI和电动汽车等领域有很好的发展机会,这些都是中国公司具有国际竞争力潜力的领域。这意味着中国公司,特别是那些希望开展国际业务的公司,他们非常需要我们的产品,改善软件产品的安全性和质量,从而帮助他们的产品走向海外。”赵科林说。

质量第一的思维模式

既然软件质量和安全如此重要,赵科林表示,如果一个公司想要提高软件质量,就需要培养质量第一的思维模式。这是上到CEO下到开发人员所必须共同建立的。其次,企业需要建立合适的管理流程来实现质量第一的开发理念,将合适的工具来贯穿到整个开发环境,确保把质量管控放进整个软件开发生命周期里面。

虽然现在许多国际市场已经为系统开发生命周期(SDLC)建立了成熟的流程,中国市场相比而言仍不够成熟。为了更快地将产品推向市场,产品的安全和质量保证通常被牺牲。开发人员意识到程序的质量根本不可能按标准严格执行。除此以外,许多原本可用于设计部署的技术都没有被使用。基于此,鉴释提供了XcalScan静态代码分析工具,帮助中国公司建立更好的开发流程,更轻松地审查产品质量和安全,以确保更高的代码质量、标准合规性和更少的漏洞。

静态代码检测工具的使用可以减少人工审查以及改善软件质量和安全上所花费的时间,降低他们的开发成本。有研究表示,在软件开发的整个生命周期里越早发现漏洞和风险,修复的成本是越来越低的,所以比如说在写代码这个阶段能发现的话,修复的越早,成本越低。通过识别早期的缺陷,最终可能将成本降低约5倍。而这可使他们产品的总体成本降低约25%。

鉴释的XcalScan是一款高度精确且直观的静态代码分析工具,通过集成到开发过程中,完成漏洞扫描,从而提高软件开发人员的生产力。它采用高级的编译器技术深度检测源代码的质量、合规性和安全性。在应用程序编写的早期阶段,通过分析识别可能导致缺陷的源代码,避免内存污染、核心转储、缓冲区溢出、非法操作、以及空指针等问题的出现。

XcalScan是开发人员在编码过程中不可或缺的强大工具,可以为其节省检查代码的时间;同时XcalScan还能帮助质检和安全审计团队执行他们所需的代码审查工作;除此之外,XcalScan还可以为团队领导和企业高管直观地展示软件项目的工作进展,让一切尽在掌握之中。XcalScan适用于所有在现阶段和未来对软件质量、合规性和安全性有着高要求的行业。

赵科林说,在整个软件开发生命周期中,有两个关键场景可以使用鉴释的产品。第一个是每天开发人员通常会上传他们的代码,因此他们可以手动检测代码然后将分析反馈给开发人员或团队负责人。当然如果需要,这个过程也可以设置为自动。第二个是在代码评审阶段,由团队负责人独立完成或者将修复任务分配给团队。“通过使用我们的工具,企业不仅可以培养质量第一的思维模式,还可以通过分享代码审查以及团队后续修复的经验,不断改进和发展团队的开发能力。“

提高开发者生产力

鉴释的的核心优势在于使用最先进的深度编译器优化技术,能够在代码被编译完成前更好地理解应用程序的运行方式。鉴释开发了新的线性算法以改善分析时间和内存使用,还提供个性化定制服务,帮助客户自主制定规则来分析承载其业务核心数据的软件代码。

鉴释创始团队在编译器和静态分析技术领域拥有数十年的开发经验。鉴释联合创始人兼首席技术官陈新中先生和鉴释联合创始人兼首席架构师刘新铭先生,两位都是全球编译器技术领域首屈一指的计算机科学家,并在软件安全和高级编译器优化方面具有深入的实践经验。这意味着他们不仅了解源代码级别的安全,而且对整个编译器的中间层都非常了解。这对鉴释开发静态分析的产品提供了有力的支撑。

“从源代码到最终编译的过程中,我们基于中间文件进行分析。越靠近机器源部分,获得整个源代码运行的信息包括数据流控制或者结构控制就越多,获得信息越多,报错准确性就越高,误报率越低。这两个因素是静态代码分析领域最核心的指标,而鉴释的表现比同类产品要好很多。”赵科林说,“我们提供不同指标来帮助团队更好管理他们的团队、开发和管理流程,并给予他们更易于使用的用户体验。”

现在软件行业也在面临一些变化,像敏捷开发、DevOps等,而鉴释产品非常适合DevOps和敏捷开发,可以无缝集成,加快产品更新,同时确保产品质量。中国公司对于代码的机密性非常敏感,他们不太愿意将代码发送至云端。所以鉴释的产品能够提供基于本地服务器的解决方案,将代码保存在内部,以便公司自己能够保证代码不被泄露。

鉴释专注客户需求,倾听客户的需求,通过不同客户的需求来改进产品。聚焦中国市场,目前鉴释一方面壮大销售团队,另一方面与本地合作伙伴一起紧密合作,拓展物联网、金融等行业客户市场。同时,鉴释努力寻求和扩大融资,拓展更为广阔的市场空间。

赵科林表示,鉴释不仅仅是一家专注质量开发的公司。事实上,鉴释认为自己更多提供的是提高生产力的一种方式,通过减少花费在代码修复上的时间降低成本,以及提高团队的整体能力。“所以,鉴释是一家专注提高开发者生产力的公司,而不仅仅只是一家专注质量开发的公司。我们的行业目标是通过软件开发社区的设计方法培养质量第一的思维模式和安全至上的设计理念。”

    扫一扫

    分享文章到微信


    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号京公网安备 11010802021500号
    举报电话:010-62641208-5060 举报email:jubao@zhiding.cn 安全联盟认证