分享人:韩葆
韩葆(Bob Han),Synopsys Software Integrity Group软件质量与安全产品线区域业务负责人/高级安全方案架构师。曾在Sun中国研究院为OpenSolaris操作系统搭建测试平台,专注软件质量与安全测试领域,深入研究开源治理、白盒测试、静态分析、网络协议Fuzzing、渗透测试等技术。经历了研发测试行业和软件安全行业在中国从无到有,从小到大的整个过程。2013年作为中国区首席工程师加入Coverity(2014年被Synopsys收购),成功的将静态分析技术引入中国,在2014-2017年四次作为中国质量竞争力大会演讲嘉宾介绍研发测试技术,并多次被软件安全领域高峰论坛如Qcon, OWASP,ItClub等邀请为嘉宾分享行业动态,致力于软件团队的研发测试与软件安全平台搭建,改善软件质量,提高软件安全性。
分享主题:从SonarQube到Coverity:典型研发团队的代码质量与安全精益之路
代码静态分析与安全审计技术,能够协助研发团队在早期阶段找到质量缺陷与安全漏洞,大幅度的节省人力时间成本,提高人效。绝大多数的团队都以SonarQube开始推进,但是Sonar检测规则浅、误报率高、集成度低等问题让使用者头疼不已。成熟度的开发团队开始寻求更为成熟的方案和技术-MetaCompilation静态代码分析技术(Coverity)。本议题介绍Sonar与Coverity的异同,互补、共存、替换的方案,也包含大型软件企业(互联网、硬件、软件)的真正代码质量与安全保障实施方案案例。
