GrammaTech amène le standard SARIF dans l’industrie pour une interconnexion entre les outils d’analyse et de développement logiciel

Toulouse, 14 avril 2020 : Distribué en France par ISIT , GrammaTech a travaillé (sur un financement du Département américain de la sécurité intérieure (DHS) sur le format ouvert SARIF pour permettre aux outils d'analyse statique open source de générer et de consommer des résultats à ce standard. S'appuyant sur ces travaux, GrammaTech met  aujourd’hui à disposition un outil permettant de prendre en charge l'intégration, via SARIF, des résultats d'analyse statique avec GitHub.

Actuellement, les outils d'analyse statique commerciaux et open source utilisent des formats propriétaires pour afficher et stocker leurs résultats. Cette approche rend difficile l'intégration des résultats d'un outil d'analyse statique dans un environnement de développement intégré (IDE), un outil de révision de code ou encore une plate-forme de gestion et de contrôle de version de code source telle que GitHub.

SARIF (Static Analysis Results Interchange Format), est un standard développé et géré par le groupe OASIS qui facilite la collaboration entre les différents outils d’analyse statique dans un environnement de développement logiciel unifié. Pour plus d'informations sur SARIF, visitez le site web OASIS et consultez les spécifications SARIF.

GrammaTech, financé par le programme STAMP (Statical Analysis Tools Modernization Project) du DHS, a déjà mis en oeuvre le support SARIF pour les analyseurs statiques open source tels que Clang Static Analyzer, Pylint et plusieurs autres. L’adoption à grande échelle du format SARIF permet aux équipes de développement logiciel de choisir les outils les plus adaptés à leurs besoins et de les intégrer facilement dans leur environnement DevOps.

Afin de soutenir davantage l'écosystème SARIF, GrammaTech a également publié un outil qui permet aux développeurs d'afficher les résultats de l'analyse statique comme partie intégrante de leur flux de travail de révision de code et de leurs requêtes pull GitHub. Cette approche facilite et augmente considérablement l'adoption de l'analyse statique, contribuant ainsi à l’amélioration de la qualité et de la sécurité du code. Cet outil est disponible en tant que logiciel open source.

« GrammaTech croit fermement à l’intégration et la collaboration inter-outils grâce à l’utilisation de standards  ouverts », déclare Vince Arneja, responsable produits chez GrammaTech. « CodeSonar, notre solution d’analyse statique, importe et exporte déjà les résultats au format SARIF, et grâce à cela, CodeSonar peut s’intégrer très simplement avec les IDEs de Microsoft, GitHub, Clang Static Analyzer, Pylint, ESlint et bien d'autres outils qui prennent en charge SARIF. »

A propos de GrammaTech
Les outils d’analyse statique avancés de GrammaTech sont utilisés par les développeurs de logiciels du monde entier et couvrent une multitude d’industries du logiciel embarqué, notamment l’avionique, les applications gouvernementales, médicales, militaires, de contrôle industriel et autres applications où la fiabilité et la sécurité sont primordiales. Développé à l'origine au sein de l'Université Cornell, GrammaTech est désormais un centre de recherche de premier plan en matière de sécurité logicielle et un fournisseur d'outils de test des logiciels et de solutions de cybersécurité avancées. Avec des outils d’analyse statiques et dynamiques pour les codes source ainsi que les exécutables binaires, GrammaTech continue de faire progresser le domaine de l’analyse logicielle offrant aux développeurs une technologie leur permettant de concevoir des logiciels plus sûrs. Pour plus d'informations, visitez www.grammatech.com

A propos, d’ISIT : Au cœur du Temps Réel Embarqué