Coverity® Coverityは、SAST (静的アプリケーションセキュリティテスト) プラットフォームとして、正確かつ包括的な静的解析を実 行し、 コードの重要な不具合やセキュリティの弱点を検出し、脆弱性、 クラッシュ、保守上の頭痛の種として現れる前に 解決できるように支援します。 ソースの段階でセキュリティ に対応 ・ 問題を解決し、重要な不具合を短時間 で効率的に解決できるよう、必要な情 報を開発者に提供 ・ 品質とセキュリティの両方を開発段階 で実現し、製品サイクル内の後半に見 つかった不具合に起因する修正作業の コストを下げ、市場投入までのタイムロ スを短縮 ・ ブランドにダメージを与え、 コストもか かるソフトウェアの障害やセキュリティ 侵害など、 フィールドや本番環境で起こ るリスクを軽減 対応可能な修正ガイダンスを活用し、潜在的なセキュリティの脆弱性に迅速に対応できます。 製品の概要 Coverity を利用すると、リスクを抑え、プロジェクト全体のコストを軽減できます。特許取得済みの技術、10 年に及ぶ研究開発、100 億行を超える企業のコードとオープンソースコードを解析してきた実績に基づき、重 要な品質の不具合と潜在的なセキュリティの脆弱性を開発段階で識別し、正確かつ対応可能な修正ガイダンス を提供します。 主な特徴 解析の深さと正確さ • Coverityは、どのビルドシステムにもシームレスに組み込むことができます。高い精度でソースコード を再現し、各行の動作を詳細に把握できます。 • また、フルパスカバレージを実現しているため、コードのあらゆる行とあらゆる潜在的な実行パスを確 実にテストします。特許取得済みの複数の技術を用い、詳細で正確な解析を保証します。 • Coverityプラットフォームは、ソースコードと基盤のフレームワークを詳細に把握することで、正確 な解析結果を実現するため、開発者が大量の誤検知の管理に時間を取られることもなくなります。その ため、開発ライフサイクルでセキュリティを効果的に確立できます。 Coverity Policy Managerを利用すれ ば、状況やリスク、 トレンドを容易に監視し レポートできるようになります。 Coverity 対応言語 解析のスピードとスケール Coverityは、次の機能に基づいて既存のワークフローに適合できるように一から築 き上げられたシステムです。 • 並列解析を用いることで、最大で16のコアを同時に実行できます。そのた め、シリアル解析に比べ、最大で10倍のパフォーマンス向上を実現します。 • 差分解析を用いることで、コードベース全体を解析し直すのではなく、変更され たコードおよび変更の影響を受ける部分のみを再解析できるため、効率的な解 析が実現します。 C/C++ C# Java JavaScript PHP Python ASP.NET Objective-C JSP 対応プラットフォーム • Coverityは、膨大な数の開発者が世界各地に分散しているような環境にも対 応でき、1億行を超えるコードのプロジェクトも簡単に解析できます。 Windows Linux Mac OS X Solaris AIX HP-UX NetBSD FreeBSD 対応コンパイラ(一部抜粋) 効率的な問題の管理と修正 • Coverity Connectは、Coverityプラットフォームの共同問題管理インターフェ ースです。開発者は、このインターフェースから対応可能な情報と詳細な修正ガ イダンスにアクセスできます。表示される情報とガイダンスでは、セキュリティに 関する専門知識がなくても不具合を修正できる方法、修正に最適なコードの場 所が示されます。 •• •• •• •• •• •• • ソースコードナビゲーション機能を備えているため、不具合への正確な経路を 特定し、共有されたコードで不具合が発生するたびに自動的に識別できます。 •• •• • 不具合は、適切な開発者に自動的に割り当てられて解決されます。また、すべて の未解決のセキュリティの問題、OWASP Top 10の問題、CWE、PCI関連の 問題もすぐに確認できます。 •• •• •• SDLC(ソフトウェア開発ライフサイクル)の統合 VisualDSP++ ARM C/C++ Borland C++ Clang Cosmic C Freescale Codewarrior GNU GCC/G++ Green Hills C/C++/ EC++ HI-TECH PICC HP aCC IAR C/C++ SCM •• •• •• •• •• •• •• • Coverityのオープンなプラットフォームを活用すれば、サードパーティ製品の解 析結果をワークフローに取り込み、ソフトウェアの不具合やリスクを確認する 場合と同じように、あらゆる種類の不具合をまとめて確認、管理できます。 受け入れを加速化してリスクを軽減 Accurev Clearcase CVS Git Hg (Mercurial) Perforce SVN Coverity Policy Manager を利用すると、コードセキュリティ、品質、テストに 関して一貫性のある標準を規定し、開発チーム全体に適用できます。また、標 定義しておいた不具合やテストの条件に基づいて測定可能な段階評価を下すこと ができます。Coverity Policy Manager には、カスタマイズ可能なビューがあり、 特定の目標に合わせて開発の指標としきい値を選択できます。 脆弱性の検知を拡張 Coverity Extend は、使いやすい SDK(ソフトウェア開発キット)で、独自の不 IDE/CI •• •• •• •• •• •• •• Android Studio Eclipse IBM RTC IntelliJ QNX Momentics MS Visual Studio Wind River Workbench •• Jenkins •• TFS 問題点の追跡 •• JIRA •• Bugzilla API 使用エラー 整数の取り扱いの問題 コーディングエラーのベスト・プラ クティス 整数オーバーフロー ビルドシステムの問題 メモリ:破損 バッファー・オーバーフロー メモリ:不正アクセス クラス階層の不一致 ヌルポインタ参照先取得エラー コードのメンテナンス性に関する問題 パス操作 具合タイプを開発時に検知できます。この SDK を基に、カスタムまたは特定領 域の不具合を識別するプログラムアナライザ(チェッカー)を作成できます。カス タマイズしたチェッカーは、企業のセキュリティ要件、業界標準、ガイドラインを 順守する目的でも使用できます。 オープ ンソ ース コ ミュ ニティ で は、Linux、Python、PostgreSQL、Firefox、 した貢献についても、Coverity は誇りに思っています。 •• Synopsys Metaware C and C++ •• TI Code Composer •• Visual Studio •• Wind River C/++ •• JDK for Mac OS X •• OpenJDK •• Sun/Oracle JDK 重要なチェック項目 準を順守しているチーム、プロジェクト、またはコンポーネントを確認し、事前に 無料の Coverity Scan を使用しています。オープンソースコミュニティへのこう IBM XLC Intel C++ Keil Compilers Marvell MSA QNX C/C++ Renesas C/C++ SNC C/C++ SNC GNU C/C++ TMicroelectronics GNU C/C++ •• STMicroelectronics ST Micro C/C++ •• SUN (Oracle) CC SDLC 統合 • Coverityプラットフォームでは、構成管理、ビルドおよび継続的統合、バグ追 跡、IDE(統合ソフトウェア開発環境)、ALM(アプリケーションライフサイクル 管理)ソリューションなど、開発プロセスをサポートする重要なツールとシステム を短時間で統合できます。 OpenSSL、Perl、Apache Hadoop を始め、4000 件を超えるプロジェクトが •• •• •• •• •• •• •• •• 同時データアクセス違反 非効率的なパフォーマンス 制御フローに関する問題 プログラムのハング クロス・サイト・スクリプティング (XSS) 競合状態 クロスサイトリクエストフォージェリ (CSRF) リソースリーク デッドロック エラー処理に関する問題 コーディングルール違反 セキュリティ違反のベストプラクティス ハードコードされた証明書 セキュリティ設定ミス 不正な式 SQL インジェクション 安全性に欠けるデータ取り扱い 初期化されていないメンバ 日本シノプシス合同会社 営業本部 ソフトウェア インテグリティグループ www.coverity.com/html_ja 〒158-0094 東京都世田谷区玉川2-21-1二子玉川ライズオフィス TEL: 03-6746-3600 Email: [email protected] ©2016 Synopsys, Inc. All rights reserved. Coverity は Synopsys, Inc. の登録商標です。 その他の会社名および商品名は各社の商標または登 録商標です。
© Copyright 2024 ExpyDoc
