ソースコード解析ツールFortify SCAの取り扱いを開始しました

驚くべきスピードで変化するビジネスに追従するため、アプリケーション開発の現場においては高速かつ高頻度なリリースサイクルが求められております。

しかし現状では、スピードと品質がどうしてもトレードオフになってしまうため、スピードと品質を両立させるためにどうすれば良いかお困りのお客様も多いようです。

一般的にはアプリケーション開発の初期段階で何らかの欠陥が85%以上潜在的に存在すると言われています。加えて、プログラムの不具合と修正にかかるコストや要する時間は、開発工程が進めば進むほど大きくなります。

家がある程度でき上がった段階で、家の基礎を含め不具合を修正すると当然コストや時間がかかるのは想像に容易いのではないでしょうか。アプリケーションもそれと同じです。

したがって、高品質なアプリケーションを高速かつ高頻度にリリースし続けるためには、基礎の段階で不具合を潰しておく、つまりコーディング段階で不具合・脆弱性リスクをいかに排除できるかが非常に重要なポイントです。

そして、コーディング段階での不具合を自動検知する手段として、 ソースコード解析ツール が改めて注目を集めています。

ソースコード解析ツールとは、一般的には静的解析ツールとも呼ばれます。アプリケーションを動かさずにソースコードを解析し、メモリリークなどの不具合やSQLインジェクションなどの脆弱性リスクを自動検知します。同時にソースコードの修正ポイントをアドバイスし、ソースコードの不具合を即座に修正できます。

ソースコードの段階で不具合を解消しておくことで、後工程でのテスト実施と比べ手戻りが圧倒的に少なく、高い品質のアプリケーションを短期間でリリースできます。

Fortify Static Code Analyzer（以下、Fortify SCA）は、ソフトウェア開発ライフサイクルに組み込むことを目的としたソースコード解析ツールです。プログラムの不具合、脆弱性を検知し対処のリコメンドまでを行います。

Fortify SCAはWebアプリケーション環境に強く、31言語に対応しています。

コード解析ツールは、自社では修正する必要のない箇所(ノイズ)も検知するので、自社で本当に対応すべき箇所を見極めることに余計な時間を費やしてしまいます。

Fortify SCAは、実績の多いスキャンエンジンに加え、機械学習を使って「利用する企業にとって修正が必要な不具合」のみをチェックするノイズキャンセル機能を搭載しています。

Fortify SCAは不具合を検知するだけでなく、具体的にどのように修正すれば良いかまでを自動で提案します。

CI/CDのツールチェーンにFortifyを組み込むことで安心安全なコードをベースにビルド、テスト、デプロイまでの一連のプロセスを自動化できます。

その結果、アプリケーションをリリースするまでのリードタイムを短縮しながらも高品質な状態のアプリケーションを継続的に提供し続けることができます。

Fortify SCAの詳細説明やデモンストレーションは、お気軽にご依頼ください。

その他にも、アシストでは現状の開発フローのボトルネックを見つけるワークショップや、アジャイル開発実現のための様々なソリューションも取り扱っています。

開発スピードを上げたい・アプリケーションの品質を高めたいが、何から手を付ければよいか迷っている
お客様向けに相談会も行っていますので、こちらもお気軽にご相談ください。