我应该多久用CAST Highlight分析一次我的应用组合?

建议每个季度运行一次CAST Highlight的快照,以查看您的应用组合随时间的变化趋势。Highlight提供了一个可编写脚本的命令行,帮助您在CI\CD环境中自动化代码扫描集成。

我可以访问CAST Highlight提供的分析数据吗?

CAST Highlight的应用组合分析结果可以通过CAST Highlight的在线交互门户查看。您还可以将所有分析数据导出到XML或Excel文件中,将CAST Highlight的IT应用组合度量集成到现有的报告工具中。

CAST Highlight支持哪些技术?

Highlight支持40多种技术。包括Java, COBOL, SAP (Abap), C/C++, C#, Objective-C, PHP, Javascript, Python, JSP, Oracle PL/SQL, Microsoft Transact-SQL, Visual Basic, VB.Net, VBScript, VB6, PL1 和 Shell/Korn SHELL/BASH scripts。

Highlight检测扫描下列技术,计算规模(总文件、代码行、后发函数点):Ruby, Scala, Ada, Go, Groovy, Fortran, Typescript, Coffeescript, Assembler, Perl, Delphi, Lua, Rust, Coldfusion, Erlang, REXX, F#, Lisp, SmallTalk, Matlab, R.

对于云就绪评估,Highlight支持Java, C#, VB/VB.Net, T-SQL, Typescript, Javascript, PHP 和 Python.

分析应用需要多长时间?

本地代理快速扫描代码。在Java中分析150,000行代码(LOC)的正常规模应用仅需到5分钟。在不到一小时的时间内,就可以分析100万代码行的大规模应用。扫描时发现缓慢?联系CAST产品团队,CAST将不断改进产品分析能力。

用本地代理扫描源代码需要什么硬件/软件?

  • 优于或等于XP的微软windows操作系统;
  • Chrome(强烈推荐使用Chrome以获得更好的产品体验);Microsoft Internet Explorer 11或更高版本(不用于兼容模式);Firefox ESR;
  • 本地代理安装/扫描:300MB可用磁盘空间,4GB内存;
  • 源代码可用,存储在可从Windows计算机访问的文本文件中。

CAST Highlight支持哪些操作系统和浏览器?

CAST Highlight门户与Internet Explorer 11或更高版本、Firefox ESR或更高版本、Safari 5.1.7或更高版本以及所有Chrome版本兼容。该门户可在台式机、平板电脑和智能手机上访问。CAST Highlight本地代理与Windows XP或更高版本兼容,可以在桌面上运行。

是否可以在我的服务器上安装CAST Highlight?

否,CAST Highlight是SaaS产品,仅由CAST部署、管理、保护和支持。这种模式的一个巨大优势是没有基础设施成本或升级工作。

源代码会离开我的基础设施吗?

不会离开。我们向您提供代理,以便代码本地分析。我们与客户之间交换的唯一信息是项目组合分析调查和代码质量分析方面的信息。CAST Highlight生成一个.csv文件,该文件由三个段组成:输出文件属性、节属性和文件属性。请注意,客户数据不是通过电子邮件或其他互联网协议通过互联网发送的。CAST Highlight在客户端基础设施上执行的代码级分析的结果通过https上传到网站,并使用256位加密机制进行加密。输出文件属性包括所分析应用的版本、分析器的版本和按语言分类的分析器,还提供了文件名和执行分析的日期。节数据属性定义特定分析器的文件结构以及其他分析器属性。文件属性是为分析的每个文件生成的摘要。

CAST Highlight是否连接到我的软件配置系统?

目前没有这一选项。如果您有特定的系统,请告诉我们。Highlight附带了一个可编写脚本的命令行,可以很容易地集成到您的CI/CD环境中。此外,在应用的第一次扫描期间,CAST Highlight代理将记录您所做的配置(排除某些技术、文件夹或文件),这些配置可使您为将来扫描同一应用程序节省时间。

我可以将团队成员或同事添加到我的CAST Highlight帐户中吗?

是的,您可以添加任意数量的团队成员。只需从“计划”页中选择“添加成员”。您将需要提供电子邮件地址,CAST Highlight将向其发送加入邀请。提供三个用户角色:项目组合管理者(可以创建、编辑、删除应用、扫描结果和活动、邀请用户等)、参与者(可以上载代码扫描结果、回答应用调查并查看其应用的分析和仪表板)和查看者(只能查看应用组合分析和仪表盘)。

我看不到CAST Highlight门户中的分析?

CAST Highlight的每个用户都被赋予一个特定的角色。有些角色的查看权限有限。请与贵公司CAST Highlight管理员联系,了解您拥有的访问权限类型。不确定您的管理员是谁?联系我们。

CAST Highlight的用户界面支持哪些语言?

CAST Highlight用户界面可以支持以下语言:英语、法语、中文、日语。

CAST Highlight如何生成健康因素指标?

这些软件健康指标都是特定模式的简单集合。每个文件都有一个可选的分数开始,当检测到一个模式时,Highlight将减少分数。一旦代理分析完一个文件,它就会计算出从理想分数中减去的分数,并确定其分数。例如,如果一个文件丢失了25%的分数,它将被归为绿色(高质量)。如果一个文件丢失了50%的点数,它将被归为橙色(中等质量)。丢失75%或更多点数的文件将被归为红色(低质量)。此方法应用于每个健康领域,为每个软件健康指标提供评分。

什么是代码洞察力?

代码洞察是代码的症状,可能表明存在更深层次的问题。CAST Highlight自动检测代码细节,以帮助运行状况指示器。代码洞察本身不一定是问题。例如,长方法通常是不受管理的对象责任的症状,需要更改域模型。简单地将长方法分解成更小的方法并不总是可行的。

CAST Highlight的应用基准从何而来?如何解释基准分数?

CAST的基准数据汇总了在CAST Highlight中分析过的所有应用的平均值。CAST Highlight分析了1200多个应用中的6.5亿行代码。CAST基准是基于统计四分位数。如果给定应用的软件运行状况指标位于第一个四分位,则应用得分高于25%,表明与其他应用相比,软件运行状况得分高于其他应用。如果软件健康指标在第四个四分位数,则应用得分低于25%,表明软件健康分布低于其他应用。

什么是软件弹性?

软件弹性表示使软件更健壮和更安全的编程最佳实践。该指标是通过特定技术的代码分析而生成的,该分析搜索短期内可构成软件可靠性的代码模式。有关此指标的更多详细信息,请访问CAST“指标和方法”。

什么是软件敏捷性?

软件敏捷性表示开发团队易于理解和维护应用的程度。该指标是通过特定于技术的代码分析而生成的,该分析搜索嵌入式文档的存在和代码可读性良好实践。
有关此指标的更多详细信息,请访问“指标和方法”。

什么是软件优雅度?

软件优雅度衡量以更少的代码复杂度交付软件价值的能力。软件优雅度得分低表示代码质量下降,导致更高的缺陷,在中期修复这些缺陷的成本很高。
有关此指标的更多详细信息,请访问“指标和方法”。

什么是云就绪?

在Highlight中,应用的云就绪性由云就像指标度量。该指标评估软件和组织中减缓或加快PaaS迁移的因素。
有关此指标的详细信息,请访问“指标和方法”。

CAST Highlight如何计算应用的业务影响力?

业务影响力指数衡量应用对公司业务的重要性。该指数是通过有关应用对业务影响力的在线调查问题得出的。
有关此指标的详细信息,请访问“指标和方法”。

是否能够检测到应用中的框架和库使用情况?

对。在应用的代码扫描期间,Highlight会自动检测数百个框架和库的使用情况,以便将这些数据聚合到Highlight仪表盘中。
有关此指标的详细信息,请访问“指标和方法”。

如何计算软件维护工作量?

基于COCOMO II (建设性成本模型——后架构),Highlight计算的软件维护工作量估计了在良好操作条件下维护应用所需的理想工作量,用FTE表示(全时当量)。这个指标来自软件维护调查和软件质量分析,指标是在源代码扫描期间计算出来的。
有关此指标的详细信息,请访问“指标和方法”。

什么是反作用函数点?它们是如何计算的?

后置函数点(back-fired function points,bfp)估计应用的函数点数量。此代码派生度量基于代码行,由给定技术的算盘加权。
有关此指标的详细信息,请访问“指标和方法”。

什么是技术债务?

“技术债务”一词最初由沃德·坎宁安定义,现在该定义正在复兴,出现了定义和计算技术债务的各种方法。技术债务表示在应用发布时修复代码中仍然存在的问题所需的工作。它是一个发展中的概念,在一个典型的应用中很少有关于该指标的参考数据。
有关此指标的详细信息,请访问“指标和方法”。

CAST Highlight如何估算技术债务?

对于每个代码基础,CAST Highlight根据识别的模式密度计算风险指数。该风险指数用于调整AppMarq的基准存储库,即每项技术每行代码价值的技术债务。
有关此指标的详细信息,请访问“指标和方法”。

CAST Highlight是否与源代码配置管理工具接口交互?

CAST Highlight不与源代码配置管理工具交互。因此,您的源代码必须从您的供应链管理系统中提取,并放入一个可以由CAST代理访问的文件夹中。

如何使用CAST Highlight分析数据库代码?

如果要分析数据库代码,则需要从数据库中提取信息。CAST使用工具将表/应用数据提取为代理可以读取的格式。
有关提取源代码的工具的更多详细信息,请访问“指标和方法”。

如何使用CASTHighlight分析SAP代码?

如果要分析ABAP 客户机代码并想确定到SAP表/程序的链接,则需要从SAP系统中提取信息。由于CAST Highlight无法直接连接到SAP表以确定链接信息,Highlight使用第三方工具将表/程序数据提取为本地代理可以读取的格式。
有关提取源代码的工具的更多详细信息,请访问“指标和方法”。

CAST Highlight无法识别的扩展名文件会发生什么情况?

对于允许文件不带扩展名的技术(通常是COBOL),本地代理将扫描第一行代码,查找给定技术的已知关键字(例如:ERFORM, MOVE,等),并将文件与检测到的技术相关联。但是,为了准确地配置代码扫描,您可以从代理中手动“强制”一种技术来处理一组文件或文件夹。然后,将用您选择的分析器扫描相应的文件。
有关如何使用“CAST Highlight”的详细信息,请访问“教程和工具”。

如果我发现我漏掉了一些代码:我需要重新运行整个分析吗?

如果您发现某个应用的某个部分被忽略或遗漏,那么您所需要做的就是分析该代码,然后重新登录到CAST Highlight 门户。您只需将它作为一个组件添加到相应的应用中,它将被聚合到该应用的质量和大小结果中。
有关如何使用“CAST Highlight”的详细信息,请访问“教程和工具”。

我的数据安全吗?

当然。Highlight不会把源代码上传到云端——只有加密的分析结果。CAST通过了最苛刻的防入侵测试之一,Highlight已经通过了ISO/IEC 27001:2013认证。

有什么样的安全措施?

您可阅读CAST安全信息与隐私政策。.

CAST Highlight位于什么平台上?

AWS 与 Microsoft Azure。

什么是ISO 27001认证和CAST Highlight认证?

ISO 27001是一个安全管理标准,规定了遵循ISO 27002最佳实践指南的安全管理最佳实践和全面的安全控制。认证要求供应商:系统地评估信息安全风险,考虑到公司威胁和漏洞的影响;设计并实施一套全面的信息安全控制和其他形式的风险管理,以解决公司和架构安全风险;采用总体管理流程,确保信息安全控制持续满足信息安全需求。本标准要求的信息安全管理系统(ISMS)定义了如何以整体、全面的方式永久地管理安全。ISO 27001认证意味着第三方认可的独立审计师已经对CAST的过程和控制进行了评估,并确认其运行符合ISO 27001认证标准。

CAST基于云的软件分析服务的ISMS已通过ISO/IEC 27001:2013认证。此外,CAST还与Amazon Web Services(AWS)合作,后者是一家通过ISO 27001认证的托管提供商,以确保CAST Highlight中的数据是安全的。我们对ISO27001认证的追求表明了我们在各个层面上对信息安全的承诺。遵守这一国际公认的标准,我们的安全管理计划将是全面的,并遵循先进的方法。此认证为客户评估CAST安全实践的广度和强度提供了更清晰和更可靠的保证。同时,我们与AWS的合作通过经过认证的供应商提供安全的解决方案。

谁是亚马逊网络服务的认证代理?

EY CertifyPoint,一个由荷兰认证委员会认证的ISO认证代理,是国际认证论坛(IAF)的成员。EY CertifyPoint颁发的证书在所有拥有IAF成员的国家均被视为有效证书。