静的解析とは？コードの問題を迅速・正確にチェックできるツールを紹介

静的解析はソースコード解析手法の一種であり、「Static Code Analysis」、「静的コード解析」とも呼ばれています。
コンピュータプログラムのソースコードに欠陥が無いかを検証する手法の一つで、主に「静的解析ツール」と称されるソフトウェアを用いてプログラムコードを自動的に解析し、誤りが無いか確かめることを指します。

なお、厳密には、ソースコードを人間が目視して問題の有無を検証する「レビュー」も静的なテスト技法の一種として定義されますが、この記事では、ソフトウェアを用いる自動的な解析方法について取り上げ、ご紹介します。

人間の記述したプログラムのソースコードに対して、「実行したらどうなるか、問題は無いか」を解析してくれるツールが、静的解析ツールです。
コード静的解析ツール、コードチェックツール、Linter、リントツール、静的解析器などとも呼ばれることがあります。

静的解析ツールは、プログラミング言語ごとに定められた文法や仕様をソースコードが満たしているか、また開発場面ごとに定められたコーディング規約に則っているかなどをチェックします。
さらに、個々の命令文などの単位で形式的な問題が見つからなかった場合でも、実行の流れ全体を解析して、例えば初期化前の変数の内容を参照している部分がある、メモリ領域の境界を超えたアクセスを命令している部分があるなど、実行時に問題となり得る箇所をあらゆる条件で検出し、指摘してくれます。

静的解析ツールは様々な開発現場で実際に活用されており、高い安全性や信頼性が求められる航空機や原子炉、人工衛星などの制御システム、セキュリティ分野などでも導入事例があります。
例えば火星着陸を果たしたロボット探査機「キュリオシティ（Curiosity）」の信頼性確保にも、静的解析ツールが採用されたことが知られています。

静的解析ツールを用いてソースコード解析を行うと、以下のようなメリットを得られます。順に見ていきましょう。

開発プロジェクトにおいて、完成時のみならず、コーディング時、開発の初期段階からこまめなチェックを行えます。
開発プロジェクト内の各工程内で早めに担当部分の問題検出が行えるため、迅速な修正が可能となり、結果的にプロジェクト全体のバグ対応コストを抑制することが可能です。

静的解析ツールを用いたソースコード解析においては、初期設定や導入さえ済んでしまえば、全チェック工程をツールによって自動化できます。

プログラミング言語の文法上の問題のみならず、あらかじめ定められた社内やプロジェクトのルールに従えているかの観点でもチェックを行えます。
プロジェクト全体の共通のコーディングスタイルでの開発を推進できるため、コードの可読性や保守性が向上します。

高度な知識を持った専任者や、プロジェクトの責任者などが目視によるコーディングのレビューを行う必要がある場合においても、レビュー前にまず静的解析ツールを用いて機械的に拾える部分をチェックした後に、担当者がレビューを行うことによって、担当者は検出された脆弱性の優先度判断といった、「人間の判断」が必要な作業に注力できます。

静的解析による結果のフィードバック、プロジェクト内の周知共有などを経て、個々の開発者が「正しいコーディング、良いコーディングをしよう」と意識を高めてくれることにも期待できます。

静的解析ツールには無料のもの、有料のものがあり、種類も様々です。ここでは、主なツールのタイプをご紹介します。一つのツールで複数の種類を兼ね備えているケースもあるため、各ツールの公式サイトなどで機能を確認しておくとよいでしょう。

フォーマッターとも呼ばれるツールタイプです。言語ごとの文法チェックのほか、独自のコーディング規約をあらかじめ定義しておき、そのルールに違反していないかをチェックするということも可能です。

セキュリティの観点で、ソースコード内の脆弱性を検出するツールです。

メモリに関する問題を引き起こす箇所や、クロスサイトスクリプティングなどの脆弱性に関する問題を引き起こす箇所などを検出してくれるツールです。

上述まででご紹介したような各機能を持ちつつ、AIのアルゴリズムを用いた解析を行うツールです。

「Fortify Static Code Analyzer（以下、Fortify SCA）」は、前項でご紹介したようなあらゆる種類のチェックを行える、統合型の静的解析ツールです。システムやソフトウェア開発における、ライフサイクルに組み込むことを前提に設計されており、ツールは脆弱性検知率100％を目標に開発されています。

多角的な観点によるコード解析を自動で実行した上で、複数の解析結果を統合したダッシュボードで分かりやすく結果を確認できます。

以下に、「Fortify SCA」の主な特徴を記します。

情報セキュリティの分野においては、関連団体が策定した様々なガイドラインが存在していますが、Fortify SCAではそれらの多くに対応しています。

バッファーオーバーフロー、リソース・インジェクション、SQLインジェクションなどの観点を含めた、あらゆる項目でコードチェックを行えます。

Fortify SCAでは、脆弱性を検出するためのルールとして、定義の異なる8種類のアナライザが搭載されています。
ソースコードのチェックを行うにあたっては、利用者は個々のアナライザを意識することなく、自動的に全ての観点でのチェックが行われます。
ご参考までに、Fortify SCAに搭載されている8つのアナライザの概要をご紹介します。

Fortify SCAは、解析できる対象として様々なプログラミング言語に対応しています。
対応言語の数は、31言語（2023年7月現在）にものぼります。

独自に開発されたスキャンエンジンにより、Fortify SCAは誤検知やノイズが少ない検出結果を誇っています。

脆弱性を検出するだけでなく、検出された脆弱性が、本当に悪用性が高いのかどうかという点までを判断する必要があります。Fortify SCAでは、検出された脆弱性の判断をサポートするAudit Assistant機能が含まれており、担当者の判断を手助けすることが可能です。

納品前やリリース前のチェックのみならず、コーディング中のチェックにも活用できる静的解析ツールは、開発プロジェクトの品質維持や、開発スピードの向上に大変役立ちます。

本記事でご紹介した統合的な静的解析ツールFortify SCAは、株式会社アシストが詳細説明やデモンストレーションなど、導入・活用するためのサポートを行っております。

アシストのサービスの説明や、Fortify SCAの資料もご自由にダウンロードしていただけますので、静的解析ツールの導入検討時には、ぜひこちらもご覧ください。