关于代码检查工具klockwork 的安装部署

最新推荐文章于 2025-10-20 21:33:24 发布
原创 最新推荐文章于 2025-10-20 21:33:24 发布 · 1.8w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文档详细介绍了Klocwork V10的安装步骤,包括依赖包的安装、服务运行、配置修改及扫描C和Java代码的过程。用户端分析步骤也一并给出,帮助用户进行代码质量检查。

本次测试安装版本V10.

1、安装
使用普通用户,test
在/opt下创建目录,
mkdir /opt/kw
chown test:test /opt/kw
如果安装client端,则
mkdir /opt/kw-user
chown test:test /opt/kw-user

test用户执行安装程序。
./kw-server-installer.9.6.4.11809.linux64.sh -i /opt/kw
./kw-user-installer.9.6.4.11809.linux64.sh -i /opt/kw-user/


在安装部署等过程中可能存在包等依赖问题,通过查看日志解决,本次部署主要依赖两个包

中间会提示缺少依赖包,可以看日志文件确认。
vi /opt/kw/projects_root/logs/license.log
x86系统安装的依赖包有:
yum install glibc-2.12-1.25.1.ky3.3.i686
yum install libgcc-4.4.5-6.1.ky3.i686



2、服务运行
./bin/kwservice -r ../kw/projects_root/ start
./bin/kwservice -r ../kw/projects_root/ stop

运行之前需要安装正版认证服务器的驱动

修改hostname如:
127.0.0.1 Kylin-VMware
解决问题后启动服务
./bin/kwservice -r ../kw/projects_root/ start

安装证书文件:
cp license/K9_Nohost_Mar_28_2013.lic //opt/kw/projects_root/licenses




扫描C代码的过程:
1、找到源码位置
2、./configure

3、//opt/kw/bin/kwinject make
如果是通过rpmbuild编译的,则在build目录下make clean清除后再执行。
生成了kwinject.out文件
4、/opt/kw/bin/kwconfigeditor /opt/kw/projects_root/projects/workspace/rules/problems_default.pconf.xml
使用该工具修改扫描的配置,侧重扫描拿部分内容。
5、开始扫描
/opt/kw/bin/kwadmin create-project test
/opt/kw/bin/kwbuildproject --project test -f -o table kwinject.out
/opt/kw/bin/kwadmin load test table


然后通过http://localhost:8080/访问结果
登录名为安装的用户名,没有密码。



扫描java代码的过程


java 环境配置
    安装 jdk
    安装 ant

    1. 进入源码目录
    2. 生成项目 kwadmin create-project test
    3. 使用kwant -o kwinject.out 命令编译项目 生产 kwinject.out文件
    注:若该方法无法无效,则使用以下方法:
        编辑build.xml加入如下配置
        <property name="kout" location="kwant.out"/>
        <property name="rep.inst" location="/opt/kw/"/>
        <taskdef name="javac" classname="com.klocwork.kwant.KWJavac">
        <classpath>
            <pathelement location="${rep.inst}\class\kwant.jar"/>
            <pathelement location="${rep.inst}\class\infoserver.jar"/>
            <pathelement location="${rep.inst}\class\kwutils.jar"/>
            <pathelement location="${rep.inst}\class\log4j.jar"/>
            <pathelement location="${rep.inst}\class\jdom.jar"/>
        </classpath>
        </taskdef>
    4. kwbuildproject --project test -f -o table kwinject.out
    5. kwadmin load test table
    6. 访问http://localhost:8080/查看结果


User端分析步骤
首先进入到项目所在的路径(工程所在的路径下)
2.1. 创建本地项目名
命令:kwcheck create 会在当前目录下生成一个 .kwlp .kwps 的目录,用来存放数据和配置文件的
2.2. 获取构建配置文件
kwbuildproject --project infoeditor -f -o table kwinject.out

用命令分析并查看结果
命令: kwcheck run –b <kwinject>.out

缺陷是不能在 web 中查看的但可以导出 txt 和 xml 格式的文件,命令为:
kwcheck list -F xml>report.xml
kwcheck list -F detailed>report.txt









Klocwork安装
旮旯
11-19 9659
简单介绍一下Klocwork在windows下的安装,操作系统是win7,Klocwork的版本是10.0。 第一步:由于Klocwork安装程序已十分成熟,所以在安装之前不需要什么准备共走。双击Klocwork安装包,会出现下图的安装引导界面,点击Next按钮。 第二步:下图是协议界面,点击Next按钮。 第三步:选择Klocwork安装目录,点击Next按钮 第四步:
klocwork10安装及使用
weixin_40593654的博客
08-01 5325
Klocwork是一款广泛使用的静态代码分析工具,用于发现和修复软件代码中的缺陷、潜在漏洞和安全问题。它可以在早期阶段自动化地检测和报告代码中的错误,从而帮助开发团队提高代码质量、可靠性和安全性。
klocwork操作步骤 以及介绍
07-17
Klocwork 介绍 Klocwork - 源代码缺陷自动分析工具概述:Klocwork 软件是 Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来 最先进的静态分析技术,是出色的软件静态分析软件。Klocwork 产品与其它同类产品相比, 具有很多突出的特征:Klocwork 支持的语言种类多,能够分析 C、C++和 Java 代码;能够发 现的软件缺陷种类全面,既包括软件质量缺陷,又包括安全漏洞方面的缺陷,还可以分析对软 件架构、编程规则的违反情况;软件分析功能全面,既能分析软件的缺陷,又能进行可视化的 架构分析、优化;能够分析软件的各种度量;能够提供与多种主流 IDE 开发环境的集成;能 够分析超大型软件(上千万代码行)。主要功能: 缺陷检测提供多角度的各种缺陷类型的分析。自动化的缺陷检测功能易于使用,定制灵活,具有图 形化的构建和报表管理图形界面,拥有业界领先的消息过滤器,极具柔性的配置,和强大的学 习调整知识库;Klocwork 能够分析 C/C++和 Java 代码,生成代码问题报告,能够发现的缺陷 类型举例。(详细参见附录): C/C++缺陷类型样例 空指针释放 内存管理问题(如:内存泄漏) 数组越界 未初始化数据使用 编码风格问题(如:在条件中赋值) Java 缺陷类型样例 效率错误(如:空的 finalize 方法) 可维护性问题(如:空的 catch 从句) 可靠性问题(如资源泄漏) 安全漏洞检测Klocwork 确信软件安全性是软件质量中一个重要的、并越来越受重视的方面。同样的, 所有的 Klocwork 安全漏洞分析是基于市场领先的缺陷检测能力,从原来的缺陷检测分离出来 单独的安全漏洞检测和违反推荐的安全代码最佳实践的缺陷检测。 能够检测到的安全漏洞类型 举例(详细参见附录) C/C++安全漏洞分类 访问控制缺陷 缓冲区溢出 DNS 欺骗 忽略返回值 注入缺陷 不安全的存储 未经验证的用户输入 Java 安全漏洞分类 拒绝服务 注入缺陷(如:SQL 注入、进程注入等) 未经验证的输入 移动代码安全 有漏洞的会话管理 跨站点脚本 出错处理不当
什么是慢查询,慢请求,以及如何避免
最新发布
执子手 吹散苍茫茫烟波
10-20 725
特指数据库层面执行时间超过预设阈值的SQL语句(或其他数据库操作,如MongoDB的查询)。例如:一条查询语句在MySQL中执行耗时1.5秒,而预设的“慢查询阈值”是1秒,则被标记为慢查询。危害:占用数据库连接、消耗CPU/IO资源,可能导致其他查询排队阻塞,甚至拖垮整个数据库。类型核心优化方向关键工具/手段慢查询优化SQL与索引、控制数据量、提升DB性能慢查询日志、EXPLAIN、分库分表、索引优化慢请求缩短链路、异步化、强化缓存、控制超时。
第41篇:Klocwork代码审计/代码扫描工具的使用教程
ABC_123的博客
01-01 8009
Part1 前言前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码...
PLSQL Developer 10.0.2.1697 中文绿色注册破解版
04-07
PLSQL Developer 10.0.2.1697 中文绿色注册版
Klocwork10–windows安装教程
weixin_45913886的博客
12-20 7679
在第一个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\3rdparty\bin\lmgrd.exe。在第二个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\projects_root\licenses。选择C/C++语言,点击Add按钮,添加相应的文件,选择打开,
klocwork 2020.3安装使用过程
zxctty的博客
12-06 2915
klocwork 2020 1、安装过程略过,可查看2019安装过程 2、web分析,存在漏报的问题,可能是规则选择不全 3、desktop分析 4、嵌入式环境插件分析 e-mail:lu1024lu@foxmail.com
klockwork 客户端在linux 系统中的安装
05-25
klockwork 客户端在linux 系统中的安装
使用klockwork对xilinx SDK工程代码进行静态走查
strawberrypll的专栏
11-29 344
目前做的项目使用xilinx SDK进行软件开发,最近需要对代码进行静态走查,在调研了几款代码走查工具后,给出了一个走查xilinx SDK工程代码的解决方案。
Java源代码分析软件Klockwork Solo发布
04-02
根据国外媒体报道,Klockwork公司发布了Klockwork Solo,这是一个可供人下载的Java静态源代码分析(SCA)工具,它可以准确地自动侦测到Java代码中的严重漏洞和安全隐患。而且,它还内建了对Android平台的支持。
KlocWork-TOOL
12-27
KlocWork
klockwork培训手册
11-25
详细说明了klocwork安装、管理等过程,以及C/C++、java、C#等程序分析方法和实例过程等。
Klocwork部署的安全最佳实践
weixin_49715102的博客
07-11 1601
安装任何基于web的应用程序时,都必须遵循安全最佳实践。本文概述了设置Klocwork的步骤,这是一款静态分析和SAST工具,旨在实现安全操作。Klocwork通常本地部署,并且位于防火墙之后。如有可能在互联网上暴露任何内容,则需采取额外的预防措施。......
klocwork insight V12 12.x v11.x v10.x安装过程
zxctty3的博客
06-07 5036
静态代码缺陷检查工具沟通学习交流,如klocwork,coverity,testbed,chckmarx,fortify,webinspect,appscan等。
Klocwork工具简介
热门推荐
JingLisen的博客
06-13 1万+
个人博客:打开链接 Klocwork,它通过静态分析的方法,自动检测代码内存泄漏、空指针引用、缓冲区溢出、数组越界等运行错误,相比一些免费的检查工具功能强大很多,对于项目代码质量的改进作用还是比较明显的。这里简单总结一下推广经验。 Klocwork工具介绍 Klocwork软件是Klocwork公司基于专利技术分析引擎开发的,综合应用了多种近年来最先进的静态分析技术。与其它同类产品相比,...
linux系统安装klocwork,linux下klocwork的使用
weixin_39604092的博客
05-13 1210
Klocwork 作为一款出色的软件静态分析软件,上半年花了段时间了解使用,这里记录下基本使用方法,备忘。Run Klocwork for firmware code in Linux OSTake peregrine firmware code for example and the test OS isUbuntu 12.04 LTS 32bit.Setp 1: Prepare the Kl...
软件静态分析以及工具Klocwork介绍
08-07 1万+
软件静态分析以及工具Klocwork介绍 1. 软件静态分析 软件静态分析无需执行程序代码,就能发现代码的质量和安全问题,这种技术能够把缺陷的发现和解决时间向前推移至编码阶段。从而显著降低缺陷解决的成本,提高软件的质量。 一般来说,静态分析的准入条件是代码能够通过编译,而它的退出条件则是所报告的可能存在的缺陷都得到合理的评估。 2. 软件静态分析与编译,代码审查,动态测试的关系  
Klocwork Solo
软件质量优化
08-17 3215
Klocwork今年早些时候发布了Klocwork Solo,针对JAVA的源代码分析工具。 Klocwork Solo takes Klocworks proven, enterprise-ready, static source code analysis technology and packages it for the individual Java developer. 
Klockwork
07-24
### Klocwork 静态代码分析工具使用指南与解决方案 Klocwork 是一款功能强大的静态代码分析工具,广泛用于检测代码缺陷、提升代码质量、确保安全性并支持持续集成(CI)流程。其核心优势在于能够在代码提交前、提交中和提交后阶段识别关键问题,从而减少后期测试成本并加快开发周期[^1]。 #### 使用指南 Klocwork 支持多种开发环境和持续集成工具,用户可以将其无缝集成到现有的开发流程中。以下是一些基本的使用步骤: 1. **项目配置** 在 Klocwork 中创建项目并配置代码库路径,支持多种语言如 C/C++、Java、C#、Python 等。用户可以通过图形界面或命令行方式初始化项目设置。 2. **代码分析** 执行静态分析前,需构建项目模型。Klocwork 提供 `kwbuildproject` 命令用于构建项目并生成分析数据库: ```bash kwbuildproject --create --project my_project --url http://klocwork-server:8080 my_project_db ``` 3. **增量分析** Klocwork 支持在代码提交期间进行增量分析,仅分析发生变化的代码部分,从而提升分析效率,适应快速迭代的开发节奏[^1]。 4. **问题报告与修复** 分析完成后,用户可通过 Klocwork Insight 客户端或 Web 界面查看报告。问题分类包括安全性、可靠性、代码标准等,支持自定义规则集。 5. **持续集成集成** Klocwork 可与 Jenkins、GitLab CI、Azure DevOps 等主流 CI 工具集成,实现自动化分析与问题检测,确保每次提交都符合质量标准。 #### 解决方案 Klocwork 不仅用于检测代码缺陷,还可作为软件安全与质量保障的重要工具: - **安全性检测** Klocwork 支持 MISRA、CERT、CWE 等安全编码标准,能够识别潜在的安全漏洞,如缓冲区溢出、空指针解引用、未初始化变量等[^3]。 - **架构与代码规范检查** 提供对软件架构的可视化分析,检测模块间依赖关系、代码复杂度、重复代码等问题,帮助团队优化系统结构[^2]。 - **大规模代码支持** 能够处理上千万行代码的超大型项目,支持分布式分析与并行处理,确保分析效率不受项目规模限制[^2]。 - **IDE 集成** 提供与 Eclipse、Visual Studio、CLion 等主流 IDE 的插件,实现代码问题在开发环境中的即时反馈,提升开发者效率。 - **定制化规则与报告** 用户可根据企业内部规范自定义规则集,并生成符合 ISO/IEC 9126、MISRA 等标准的合规性报告。 ###
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值