在上一篇文章代码静态测试王者新版上线——Helix QAC 2021.3:我的格局打开了里,我们介绍了QAC 2021.3的重大更新及其它各项新特性。
那么对于最近破坏力不容小觑的Log4j漏洞对它会产生什么影响呢?对此我们的答案如下:
Helix QAC 不受近期 Log4j 漏洞 Log4Shell (CVE-2021-4428) 的影响,因为Java 仅在 Helix QAC Eclipse Plugin 中使用,因此 Helix QAC 和 Helix QAC 工具不受此漏洞影响。
然而,由于 Log4j被旧版 PRQA framework / Helix QAC 中的 Checkmarx 组件使用了,但是Checkmarx 组件仅用于 QA Java 分析,现在这个组件已被弃用了。
因此我们不认为我们的用例容易受到攻击,因为任何漏洞都需要由已经有权运行 Java 程序的本地用户执行。但是,作为额外的预防措施,您可以删除 Checkmarx 组件。这不会影响 C 或 C++ 分析。
所以有问题吗? 没有问题!更多相关试用需求业务咨询,欢迎私信,散会~
Perforce公司简介
Perforce(PRQA)公司是AUTOSAR组织在代码静态分析领域的唯一会员,负责功能安全软件架构的相关标准制定工作,参与编写了C++14编码指南,制定了AUTOSAR测试方案,并应用其开发的静态测试工具Helix QAC在AUTOSAR Adaptive Platform演示代码上执行代码静态测试。
Helix QAC作为代码静态分析领域的先驱,不仅仅提供针对AUTOSAR C++的诊断,还支持MISRA C/C++、HICPP、JSF AV C++、CERT、CWE编码规范包,其精准的诊断消息和强大的软件生命周期管理平台为全球3000多个整车厂和零部件供应商所信赖。
