前言
在上一篇文章代碼靜態測試王者新版上線——Helix QAC 2021.3:我的格局打開了里,我們介紹了QAC 2021.3的重大更新及其它各項新特性。
那么對于最近破壞力不容小覷的Log4j漏洞對它會產生什么影響呢?對此我們的答案如下:
Helix QAC 不受近期 Log4j 漏洞 Log4Shell (CVE-2021-4428) 的影響,因為JAVA 僅在 Helix QAC Eclipse Plugin 中使用,因此 Helix QAC 和 Helix QAC 工具不受此漏洞影響。
然而,由于 Log4j被舊版 PRQA Framework / Helix QAC 中的 Checkmarx 組件使用了,但是Checkmarx 組件僅用于 QA Java 分析,現在這個組件已被棄用了。
因此我們不認為我們的用例容易受到攻擊,因為任何漏洞都需要由已經有權運行 Java 程序的本地用戶執行。但是,作為額外的預防措施,您可以刪除 Checkmarx 組件。這不會影響 C 或 C++ 分析。
所以有問題嗎? 沒有問題!更多相關試用需求業務咨詢,歡迎私信,散會~
Perforce公司簡介
Perforce(PRQA)公司是AUTOSAR組織在代碼靜態分析領域的唯一會員,負責功能安全軟件架構的相關標準制定工作,參與編寫了C++14編碼指南,制定了AUTOSAR測試方案,并應用其開發的靜態測試工具Helix QAC在AUTOSAR Adaptive Platform演示代碼上執行代碼靜態測試。
Helix QAC作為代碼靜態分析領域的先驅,不僅僅提供針對AUTOSAR C++的診斷,還支持MISRA C/C++、HICPP、JSF AV C++、CERT、CWE編碼規范包,其精準的診斷消息和強大的軟件生命周期管理平臺為全球3000多個整車廠和零部件供應商所信賴。
