開発から運用まで、IT部門のお役に立つ情報をお届けするサイトです

運用管理は変わらない変えるのは”やりかた”だ次世代型ITサービスマネジメント変革ソリューション『縁(ENISHI)』
  • サービス品質

ソースコード解析ツールFortify SCAの取り扱いを開始しました

  • #アジャイル
  • #CI/CD

2021.12.28

ソースコード解析ツールFortify SCAの取り扱いを開始しました

なぜ「今」ソースコード解析なのか

驚くべきスピードで変化するビジネスに追従するため、アプリケーション開発の現場においては高速かつ高頻度なリリースサイクルが求められております。

しかし現状では、スピードと品質がどうしてもトレードオフになってしまうため、スピードと品質を両立させるためにどうすれば良いかお困りのお客様も多いようです。

85%の欠陥が開発の「初期段階」で存在する

一般的にはアプリケーション開発の初期段階で何らかの欠陥が85%以上潜在的に存在すると言われています。加えて、プログラムの不具合と修正にかかるコストや要する時間は、開発工程が進めば進むほど大きくなります。

家がある程度でき上がった段階で、家の基礎を含め不具合を修正すると当然コストや時間がかかるのは想像に容易いのではないでしょうか。アプリケーションもそれと同じです。

したがって、高品質なアプリケーションを高速かつ高頻度にリリースし続けるためには、基礎の段階で不具合を潰しておく、つまりコーディング段階で不具合・脆弱性リスクをいかに排除できるかが非常に重要なポイントです。

そして、コーディング段階での不具合を自動検知する手段として、 ソースコード解析ツール が改めて注目を集めています。

不具合修正にかかるコスト

ソースコード解析ツールが提供する価値

ソースコード解析ツールとは、一般的には静的解析ツールとも呼ばれます。アプリケーションを動かさずにソースコードを解析し、メモリリークなどの不具合やSQLインジェクションなどの脆弱性リスクを自動検知します。同時にソースコードの修正ポイントをアドバイスし、ソースコードの不具合を即座に修正できます。

ソースコードの段階で不具合を解消しておくことで、後工程でのテスト実施と比べ手戻りが圧倒的に少なく、高い品質のアプリケーションを短期間でリリースできます。

ソースコード解析で修正コストを抑える

コード解析ツール、Fortify Static Code Analyzerとは

Fortify Static Code Analyzer(以下、Fortify SCA)は、ソフトウェア開発ライフサイクルに組み込むことを目的としたソースコード解析ツールです。プログラムの不具合、脆弱性を検知し対処のリコメンドまでを行います。


Fortify SCAの概要図

※クリックで拡大します

Fortify SCAの特長

幅広い言語をカバーし、あらゆるアプリケーションに対応

Fortify SCAはWebアプリケーション環境に強く、31言語に対応しています。

Fortify SCAで解析できる言語

.NET Framework、.NET Core、ABAP/BSP、ActionScript、Apex、ASP.NET、C#、C/C++、Classic ASP (with VBScript)、COBOL、ColdFusion、Go、HTML、Java (including Android)、JavaScript、JSP、Kotlin、MXML (Flex)、Objective-C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、TypeScript、VBScript、Visual Basic (VB.NET)、Visual Basic、XML

誤検知やノイズが少なく、開発者のチェック工数を最小化

コード解析ツールは、自社では修正する必要のない箇所(ノイズ)も検知するので、自社で本当に対応すべき箇所を見極めることに余計な時間を費やしてしまいます。

Fortify SCAは、実績の多いスキャンエンジンに加え、機械学習を使って「利用する企業にとって修正が必要な不具合」のみをチェックするノイズキャンセル機能を搭載しています。

Fortifyノイズキャンセル

修正ガイダンスやリアルタイムの不具合チェックで効率化

Fortify SCAは不具合を検知するだけでなく、具体的にどのように修正すれば良いかまでを自動で提案します。

Fortify SCAの不具合チェックとレコメンドイメージ

※クリックで拡大します

Fortify SCAを組み込むことにより広がるDevOpsの世界

CI/CDのツールチェーンにFortifyを組み込むことで安心安全なコードをベースにビルド、テスト、デプロイまでの一連のプロセスを自動化できます。

その結果、アプリケーションをリリースするまでのリードタイムを短縮しながらも高品質な状態のアプリケーションを継続的に提供し続けることができます。

CI/CDパイプラインへコード解析を組み込む

Fortify SCAの詳細やデモンストレーションはお気軽にご依頼ください!

Fortify SCAの詳細説明やデモンストレーションは、お気軽にご依頼ください。

その他にも、アシストでは現状の開発フローのボトルネックを見つけるワークショップや、アジャイル開発実現のための様々なソリューションも取り扱っています。

開発スピードを上げたい・アプリケーションの品質を高めたいが、何から手を付ければよいか迷っている
お客様向けに相談会も行っていますので、こちらもお気軽にご相談ください。