Fortify Static Code Analyzer
Fortify Static Code Analyzer(以下、Fortify SCA)は、ソフトウェア開発ライフサイクルに組み込むことを目的としたソースコード解析ツールです。プログラムの不具合、脆弱性を検知し対処のリコメンドまでを行います。
Fortify SCAの機能と特長
Fortify SCAの利用イメージがわかる動画
Fortifyを使ったコードの解析と、複数の解析結果を統合したダッシュボードを確認する一連の流れを、デモでご覧いただけます。(4分59秒)
幅広いセキュリティ規約に対応
Fortify SCAでは、情報セキュリティに関連する団体が策定しているガイドラインに沿ってチェックが可能です。
準拠しているガイドライン例
OWASP TOP10,PCI DSS、NIST、CWE、GDPR など
幅広い言語をカバーし、あらゆるアプリケーションに対応
Fortify SCAはWebアプリケーション環境に強く、31言語に対応しています。
Fortify SCAで解析できる言語
.NET Framework、.NET Core、ABAP/BSP、ActionScript、Apex、ASP.NET、C#、C/C++、Classic ASP (with VBScript)、COBOL、ColdFusion、Go、HTML、Java (including Android)、JavaScript、JSP、Kotlin、MXML (Flex)、Objective-C/C++、PHP、PL/SQL、Python、Ruby、Scala、Swift、T-SQL、TypeScript、VBScript、Visual Basic (VB.NET)、Visual Basic、XML
セキュリティ規約を確認するさまざまな機能を搭載
Fortify SCAは様々なセキュリティ規約を確認するための機能を搭載しています。
代表的な機能の例
| 入力妥当性検証と表現 | バッファーオーバーフロー、コマンド・インジェクション、クロスサイトスクリプティング、フォーマット文字列、リソース・インジェクション、設定の操作、SQLインジェクション、など |
| APIの乱用 | ヒープインスペクション、戻り値の未チェック、など |
| セキュリティ機能 | 特権の侵害、アクセス制御、パスワード管理、プライバシー管理、など |
| 時間と状態 | デットロック、セッション管理、ファイルアクセス、など |
| エラー | Null Pointer、空のキャッチブロック、など |
| コード品質 | ダブルフリー、メモリリーク、廃止された関数チェック、未定義の関数の動作、未初期化の変数、リソースの未開放、フリーのメモリ参照 |
| カプセル化 | ユーザ間のデータリーク、デバッグコードの取り残しなど |
誤検知やノイズが少なく、開発者のチェック工数を最小化
|
|
修正ガイダンスやリアルタイムの不具合チェックで効率化
Fortify SCAは不具合を検知するだけでなく、具体的にどのように修正すれば良いかまでを自動で提案します。
|
|
|
|
|
|
品質強化対策の関連製品/サービス
ITサービスマネジメントに関するその他の課題
- 運用自動化が進まない! 着実に運用自動化を進める具体的な方法とは?
- 運用自動化でオペレーションミスを劇的に削減
- 【BCP対策】「人」の対応を前提としない、DRサイト運用自動化を実現
- インシデント管理の業務改善
- ヘルプデスク業務の可視化/改善
- 構成管理データベース(CMDB)の構築/改善
- サービスデスク、インシデント管理の情報蓄積/共有
- サービスデスクの確立と整備
- ヘルプデスクのスキルアップと脱「属人化」
- RPA導入で思ったより効果が出ない理由と対策
- JP1/AJS3ジョブ運用のリスクアセスメント
- インシデント対応のスピード向上/生産性向上
- GUI操作を含むオペレーション業務の自動化
- マスターデータ登録(移行)作業の自動化
- IT部門のビジネス貢献に向けて
- IT部門から OTxITを進める初めの一歩
- DXのために運用部門が今、やるべきこととは
- 運用管理ソフトJP1のバージョンアップ
- 運用管理ソフトJP1への移行(マイグレーション)
お求めの情報は見つかりましたでしょうか。
お客様の状況に合わせて詳しい情報をお届けできます。お気軽にご相談ください。
