L’éditeur américain de solutions de développement et de technologies DevOps Perforce Software lance une intégration CI/CD (intégration en continu/livraison en continu) complète de ses outils d'analyse statique de code. Perforce, rappelons-le, a racheté en 2018 la société britannique PRQA, un spécialiste des outils d’analyse statique de code, et en 2019 le canadien Klocwork, éditeur aussi de ce type de technologie.
Une mise à jour qui procure aux développeurs une couverture de code plus large tout en leur permettant de détecter et de résoudre les problèmes de sécurité et de conformité d’un logiciel, le plus tôt possible dans un cycle de test. Il s’agit, avec ces moteurs d'analyse statique, de garantir la qualité, la sûreté et la sécurité des logiciels tout au long du processus de développement en alertant les développeurs des défauts, des vulnérabilités et des violations des règles de normes au fur et à mesure de l'écriture du code.
Selon le rapport 2024 State of Automotive Development de Perforce, 59 % des professionnels des logiciels embarqués ont adopté ou mettent activement en œuvre des pratiques dites de “décalage vers la gauche” (shift-left practices), i.e. un déplacement des activités de test plus tôt dans un processus de développement avec un retour d'informations continu. Il s’agit en d’autres termes de rendre la correction des erreurs plus facile à gérer, d’améliorer la qualité du produit et de garantir la conformité aux normes de codage très en amont d’un cycle de développement.
En proposant des capacités d'intégration CI/CD optimisées, la solution de Perforce inclut la possibilité de produire des résultats d'analyse pour des ensembles de modifications dans le cadre d'une validation de branche de fonctionnalités, d'une demande de fusion ou d'une demande d'extraction, puis de générer des rapports sur ces résultats à travers l’environnement Validate de la société. La prise en charge s'étend également aux tâches d'analyse exécutées dans des pipelines CI/CD installées dans le cloud, aux tâches de construction de conteneurs et à l'intégration dans des plates-formes CI/CD différentes à travers une API Web intégrée. De plus, les développeurs bénéficient d'une sécurité améliorée et simplifiée grâce aux techniques d’authentification de Validate, notamment la prise en charge de l'intégration de fournisseurs d'identité SAML (Security Assertion Markup Language et OIDC (OpenID Connect).
« Les outils, les plateformes et les flux de travail déjà courants dans l'espace de développement de logiciels d'entreprise arrivent progressivement dans l'espace de développement de logiciels embarqués traditionnellement plus réservés, note Stephen Feloney, vice-président en charge du management produits chez Perforce. A ce niveau, notre objectif est de rendre l'analyse statique plus facile à utiliser dans un processus de développement CI/CD. »
Dans le détail, l’outil d’analyse statique de code C/C++ de Klocwork (version 2024.2) est livré avec une détection de défauts optimisée pour le C++17 et un affichage de taux de faux positifs et de faux négatifs plus faibles, ainsi que des temps d'analyse plus rapides jusqu'à 25 %. Quant à l’outil Helix QAC 2024.2, il prend désormais en charge les fonctionnalités des langages C++20 et C23.