静的解析およびSASTのプラットフォーム　Coverity 静的解析

Coverity 静的解析 Coverity 静的解析は、 製品概要 ソースコードに潜む重大 Coverity静的解析は数々の特許技術、10年間にわたる研究開発、そしてオープンソー な不具合やセキュリティ スを含む100億行以上のコード解析に基づき、品質上の重大な不具合や潜在的なセキュリティ脆弱性を開発段階で洗い出し、信頼性の高い実践的な修正ガイダンスを 脆弱性をコーディング 提示することにより、リスク軽減とプロジェクト全体のコスト削減に貢献します。 中に高精度で検出する 正確で包括的な静的解 析およびSAST（静的ア プリケーション・セキュ リティ・テスト）のプラッ トフォームです。 実践的な修正ガイダンスにより、潜在的なセキュリティ脆弱性への迅速な対応を支援 主な特徴 解析の深さと精度 • Coverity静的解析は任意のビルド・システムとシームレスに統合し、ソースコー ドの正確な表現を生成します。これにより、ソースコードの挙動を深く理解します。 • Coverity静的解析はフルパス・カバレッジをサポートしており、すべてのコード 行およびすべての潜在的な実行パスを確実にテストします。複数の特許技術によ り、深く正確な解析が可能です。 • Coverity静的解析はソースコードおよび基盤のフレームワークを詳細に把握する ことで高精度な解析結果を提供します。このため、大量の誤検出で開発者の時間 を無駄にすることがなく、開発ライフサイクルにセキュリティを効率よく組み込 むことができます。 synopsys.com |

ソース段階での 解析のスピードとスケール セキュリティ対策 Coverityはどのような既存のワークフローにも統合できるようにゼロから設計されています。主な特長は以下のとおりです。 • 重大な不具合のトラブルシュー • Coverityは最大16コアを利用した並列解析が可能で、シリアル解析に比べ最大 ティングと修正を短時間で効率 で10倍のパフォーマンスを発揮します。 よく進められるよう、開発者に • 高速デスクトップ解析と増分解析はコードベース全体ではなく変更のあったコー 必要な情報を提示します。 ドまたは変更の影響を受けるコードのみを再解析するため、解析時間が短縮しま • 品質とセキュリティを開発フ す。ファイル・システム・キャプチャは未コンパイルのコードも解析可能なため、 ローに組み込むことにより、 最初に完全なビルドを実行する必要がありません。 開発サイクル終盤に不具合が • Coverityは優れたスケーラビリティを備えており、広域分散環境における数千人 見つかった場合に生じる手戻 規模の開発者をサポートできます。プロジェクトのコードが1億行を超えても容 りのコストを軽減し、製品リ 易に解析できます。 リースの遅れを防ぎます。 ソフトウェア開発ライフサイクル（SDLC）との統合 • 量産開始後または製品発売後 • Coverityは、バージョン管理システム、ビルドおよび継続的インテグレーション にソフトウェア不具合やセ （CI）、バグ・トラッキング、アプリケーション・ライフサイクル・マネジメント キュリティ脆弱性が見つかっ （ALM）ソリューションや統合開発環境（IDE）など、開発プロセスをサポート た場合の多大なコストとブラ する重要なツールやシステムと短時間で統合できます。 ンド失墜を防ぎます。 • オープンなプラットフォームであるため、サードパーティの解析結果をワークフ ローにインポートして、ソフトウェア不具合やリスクと同じビューで一元的に表 示することで、あらゆる種類の不具合を、同様に管理できます。 問題の効率的な管理と修正 • このプラットフォームでは、共同問題管理インターフェイスのCoverity Connect から具体的な情報と的確な修正ガイダンスが開発者に提示されるため、セキュリ ティに関する深い知識がなくても指示されたコード行を指示された方法で修正す るだけで不具合を解消できます。 • Coverity Connectには不具合へのパスを正確に指摘するソースコード・ナビゲー ション機能があり、共有コード全体で出現するすべての不具合を自動的に洗い出 します。 • 検出された不具合は解決に最も適した開発者に自動的にアサインされます。 セキュリティ、OWASP Top 10、CWE、PCIに関する未解決の問題はすぐに確 認できます。 受け入れを促進し、リスクを軽減 Coverity Policy Managerを使用することで、コード・セキュリティおよび品質、 テストに関して開発チームの垣根を越えた一貫性のある基準を定義し、これら基準 への適合を図ることができます。チーム単位、プロジェクト単位、コンポーネント 単位でこれらの基準への適合状況が可視化され、不具合やテストに関して事前に定 義した指標に基づいて定量的にステージ節目での合否を判断できます。このビュー はカスタマイズ可能なため、組込み、エンタープライズ、モバイルなど各種アプリケー 現在のステータス、リスク、トレンドを ションの目的に応じた開発指標およびしきい値を選択できます。 分かりやすい形でユーザーに提示する Coverity Policy Manager 基準への適合と脆弱性の検出を拡張 Coverity Extendは、検出可能な不具合の種類を開発者が独自に拡張できる使いやす いソフトウェア開発キット（SDK）です。このSDKをフレームワークとして利用し てプログラム・アナライザ（チェッカー）を記述すると、カスタムまたは特定分野 の不具合を検出できます。Coverity CodeXMは特定分野向けの関数型プログラミン グ言語で、開発者が独自のカスタム・チェッカーを容易に記述できます。これらの カスタム・チェッカーにより、企業ごとのセキュリティ要件や業界標準規格および ガイドラインへの準拠をサポートします。

Coverity 静的解析 技術スペック 対応言語/フレームワーク 対応コンパイラ クリティカル・チェック • C/C++ • Node.js • Arm C/C++ • API使用エラー • C# • Ruby • Borland C++ • コーディング・エラーのベストプ • Java • Android • CEVA-XC4500 ラクティス • JavaScript • Swift • Clang • ビルド・システムの問題 • PHP • Fortran • Cosmic C • バッファ・オーバーフロー • Python • Scala • Freescale CodeWarrior • クラス階層の不一致 • ASP.NET • VB.NET • GNU GCC/G++ • コードのメンテナンス性の問題 • Objective-C • iOS • Green Hills C/C++/EC++ • 同時データアクセス違反 • JSP • HI-TECH PICC • 制御フローの問題 対応プラットフォーム • HP aCC • クロスサイト・スクリプティング • IAR C/C++ （XSS） • Windows • AIX • IBM AIX • クロスサイト・リクエスト・ • Linux • HP-UX • IBM XLC フォージェリ（CSRF） • Mac OS X • NetBSD • Intel C++ • デッドロック • Solaris • FreeBSD • JDK for Mac OS X • エラー処理の問題 SDLC統合 • Keil compilers • ハードコードされた証明書 SCM • Marvell MSA • 不正な式 • AccuRev • MPLAB XC8 • 整数の取り扱いの問題 • Apache Subversion（SVN） • OpenJDK • 整数オーバーフロー • CVS • QNX C/C++ • セキュアでないデータ処理 • Git • Renesas C/C++ • メモリー：破損 • Mercurial（Hg） • SNC C/C++ • メモリー：不正アクセス • Perforce Helix • SNC GNU C/C++ • NULLポインタの参照先取得エラー • Team Foundation Server SCM • Sony ORBIS SDK • パス操作 IDE/CI • Sony PS4 • 非効率なパフォーマンス • STMicroelectronics GNU C/C++ • プログラムのハング• Android Studio • Eclipse • STMicroelectronics ST Micro • 競合状態 C/C++ • リソースリーク• IBM Rational Team Concert • IntelliJ IDEA、WebStorm、 • Sun (Oracle) CC • コーディングルール違反 • Sun/Oracle JDK • セキュリティ・ベストプラクティスRubyMine、PhpStorm、 PyCharm • Synopsys MetaWare C/C++ の違反 • Jenkins • TASKING for ARM Cortex • セキュリティ設定ミス • MS Visual Studio • TI Code Composer • SQLインジェクション • メンバーの未初期化 • QNX Momentics • Visual Studio • Team Foundation Server • VisualDSP++ • Wind River Workbench • Wind River C/C++ バグ・トラッキング 他 • JIRA • Bugzilla

現在、オープンソース・コミュニティではLinux、Python、 PostgreSQL、Firefox、OpenSSL、Perl、Apache Hadoopなど 4,000を超えるプロジェクトでシノプシスの無償版Coverity Scan が利用されています。オープンソースコミュニティへのこうした 貢献についても、Coverity は誇りに思っています。 シノプシスの特色 シノプシスのソフトウェア インテグリティ グループは、企業が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら スピードと生産性を最大化に貢献します。 シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・ コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーショ ンの動作における脆弱性や欠陥を迅速に見つけて修正します。 業界をリードするツール、サービス、専門知識を組み合わせることで、 SynopsysはDevSecOpsにおけるセキュリティと品質を最大化し、ソフトウェア開発のライフサイクル全体にわたって組織を支援し ます。 詳しくは、www.synopsys.com/jp/software をご覧ください。 日本シノプシス合同会社 ソフトウェア インテグリティ グループ 〒158-0094 東京都世田谷区玉川2-21-1 二子玉川ライズオフィス Email: sig-japan@synopsys.com TEL: 03-6746-3600 www.synopsys.com/jp/software ©2018 Synopsys, Inc. All rights reserved. Synopsysは Synopsys, Inc. の米国およびその他の国における登録商標です。Synopsysの商標に関しては、 こちらをご覧ください。http://www.synopsys.com/copyright.htmlその他の会社名および商品名は各社の商標または登録商標です。 05/02/18. DS_SAST_Coverity_JP.