从SonarQube到Coverity:典型研发团队的代码质量与安全精益之路

分享人：韩葆

韩葆(Bob Han)，Synopsys Software Integrity Group软件质量与安全产品线区域业务负责人/高级安全方案架构师。曾在Sun中国研究院为OpenSolaris操作系统搭建测试平台，专注软件质量与安全测试领域，深入研究开源治理、白盒测试、静态分析、网络协议Fuzzing、渗透测试等技术。经历了研发测试行业和软件安全行业在中国从无到有，从小到大的整个过程。2013年作为中国区首席工程师加入Coverity（2014年被Synopsys收购），成功的将静态分析技术引入中国，在2014-2017年四次作为中国质量竞争力大会演讲嘉宾介绍研发测试技术，并多次被软件安全领域高峰论坛如Qcon, OWASP,ItClub等邀请为嘉宾分享行业动态，致力于软件团队的研发测试与软件安全平台搭建，改善软件质量，提高软件安全性。

 

分享主题：从SonarQube到Coverity:典型研发团队的代码质量与安全精益之路

代码静态分析与安全审计技术，能够协助研发团队在早期阶段找到质量缺陷与安全漏洞，大幅度的节省人力时间成本，提高人效。绝大多数的团队都以SonarQube开始推进，但是Sonar检测规则浅、误报率高、集成度低等问题让使用者头疼不已。成熟度的开发团队开始寻求更为成熟的方案和技术-MetaCompilation静态代码分析技术（Coverity）。本议题介绍Sonar与Coverity的异同，互补、共存、替换的方案，也包含大型软件企业（互联网、硬件、软件）的真正代码质量与安全保障实施方案案例。