コベリティ日本支社、次世代のデベロップメントテストプラットフォームを発表・・・脆弱性対策にも力

ソースコードの静的解析ツールを提供するコベリティ日本支社は、次世代機のデベロップメントテストプラットフォームの発表記者会見を開催しました。

コベリティ社は2003年に設立。ビジネスに直結するソフトウェア開発リスクを低減することを使命として掲げ、特許技術の静的解析エンジンを活かしてソースコードの不具合を検出し、改善方法を指南するツールを提供してきました。あらゆる産業分野でソフトウェアの複雑性はますます増していて、従来のテスト手法だけでは対応が難しく、同社の製品は世界で1200社以上で採用されてきました。

日本でも2005年から当初は代理店を通じて販売を開始、2007年からは直販に切り替えて本格的な展開を始めました。日本でもヤフージャパン、コナミ、セガ、NEC、東芝、三菱電機、デンソー、外為どっとコムなど多様な業種で採用が進み、現在の日本支社の従業員は22名。日本を中心としたアジア太平洋地域での年商は約3000万ドルまで拡大しているとのこと。

新たなプラットフォームは、一社単体ではなく、アウトソース先なども含めてソフトウェアのサプライチェーン全体をカバーすることや、不具合にプラスしてソフトウェア脆弱性対策などのセキュリティ方面のカバーを広げています。

プラットフォームは3つの製品から構成されます。「Quality Advisor」はコベリティの主力商品でこれまで「Coverity Static Analysis」と呼ばれてきた製品に該当します。これに加えて、ソフトウェア脆弱性対策を担う「Security Advisor」、そしてテストの支援ツールとなる「Test Advisor」が登場します。これらは全てコベリティの特許技術である静的解析エンジンをベースにしています。また、「Coverity Connect」と呼ばれる技術によって各製品が連携し、情報を一箇所から確認できます。コベリティ社の共同創業者でCTOのAndy Chou氏は「不具合への対処にはテクノロジーとプロセスの両輪が必要」と述べ、これらの製品がその両方を担うものであることを伺わせました。

■脆弱性対策はソフトウェア開発の大きな課題

「Security Advisor」はソフトウェア脆弱性対策のためのツールです。昨今の国際情勢を受けた組織的な攻撃の発生や、システムがウェブ化することによって攻撃が容易になるなどシステムのセキュリティの重要性は増しています。一方で従来の対策ツールでは、問題となる箇所は把握できるものの、その解決方法が明確にならないなどの問題点があったそうです。また、従来のセキュリティチェックはソフトウェアがある程度完成を迎えた段階で行われることが多く、発見されたとしても修正が困難で、リリーススケジュールに大きな影響を与えることは避けられませんでした。

「Security Advisor」ではエンジニアがコードを書いている段階で静的解析を行い、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフローなどのセキュリティ脆弱性を検知し、エンジニアに具体的な修正方法を提示してくれます。このため、エンジニアは脆弱性を含むコードを書いてしまった、その場で修正を加えることができます。脆弱性が見逃され、含んだコードが何箇所にも流用され、責任の所在も不明瞭になる、といったことも防げます。

ウェブ向けの開発では複数のフレームワークを利用して行われることもありますが、そうした際にも汚染された値がフレームワークに渡されてどのように処理が行われていくのかについても解析が及ぶため、正確な処理が行えるとのこと。

対応する言語はC/C++に加えてJavaへも対応。

■効率化や可視化でも開発をサポート

「Test Advisor」はソフトウェアのテスト行程を効率化することのできるツールです。ユニットテスト(単体テスト)は価値があるものの非効率なものだと言います。コベリティ社によれば、ユニットテストを実施する場合、エンジニアの時間を50%費やしたとしても、見つかる不具合は30%くらいにしかならないということです。その大きな要因はテストのカバレッジを決定する難しさです。「Test Advisor」を利用すればテストをすべき重要な箇所や更新箇所を提示してくれます(例えば、レガシーなコードには不具合は余り含まれないと考えられる)。

また、新たなプラットフォームには「Policy Manager」と呼ばれるコード品質やセキュリティ、テスト基準などプロジェクト全体の潜在的なリスクを可視化し、品質向上に役立てるためのツールも提供されます。このツールを用いればプロジェクトマネージャーやエグゼクティブクラスが、プロジェクトが成功裏に進行しているかどうかビジュアルで確認し、注力すべき箇所について決定を下すことができるようになります。

発表会ではデモも行われ、各製品の使い勝手の良さが強調されました。製品はVisual Studio、EclipseなどのIDEに違和感なく統合され、静的解析エンジンの威力を活用できます。コベリティ日本支社では無料トライアルも実施していますので、ウェブサイトで詳細を確認してみてください。