バックナンバーはこちら

today&tomorrow

Technology Update

2018 vol.110

Coverityによるソフトウェアの静的解析

基準への適合と脆弱性の検出を拡張

Coverity Extendは、検出可能な不具合の種類を開発者が独自に拡張できる使いやすいソフトウェア開発キット(SDK)です。このSDKをフレームワークとして利用してプログラム・アナライザ(チェッカー)を記述すると、カスタムまたは特定分野の不具合を検出できます。Coverity CodeXMは特定分野向けの関数型プログラミング言語で、開発者が独自のカスタム・チェッカーを容易に記述できます。これらのカスタム・チェッカーにより、企業ごとのセキュリティ要件や業界標準規格およびガイドラインへの準拠をサポートします。

Coverity 静的解析 技術スペック

対応言語/フレームワーク

  • C/C++
  • C#
  • Java
  • JavaScript
  • PHP
  • Python
  • ASP.NET
  • Objective-C
  • JSP
  • Node.js
  • Ruby
  • Android
  • Swift
  • Fortran
  • Scala
  • VB.NET
  • iOS

対応プラットフォーム

  • Windows
  • Linux
  • Mac OS X
  • Solaris
  • AIX
  • HP-UX
  • NetBSD
  • FreeBSD

SDLC統合

SCM

  • AccuRev
  • Apache Subversion(SVN)
  • CVS
  • Git
  • Mercurial(Hg)
  • Perforce Helix
  • Team Foundation Server SCM

IDE/CI

  • Android Studio
  • Eclipse
  • IBM Rational Team Concert
  • IntelliJ IDEA、WebStorm、RubyMine、PhpStorm、PyCharm
  • Jenkins
  • MS Visual Studio
  • QNX Momentics
  • Team Foundation Server
  • Wind River Workbench

バグ・トラッキング

  • JIRA
  • Bugzilla

対応コンパイラ

  • Arm C/C++
  • Borland C++
  • CEVA-XC4500
  • Clang
  • Cosmic C
  • Freescale CodeWarrior
  • GNU GCC/G++
  • Green Hills C/C++/EC++
  • HI-TECH PICC
  • HP aCC
  • IAR C/C++
  • IBM AIX
  • IBM XLC
  • Intel C++
  • JDK for Mac OS X
  • Keil compilers
  • Marveli MSA
  • MPLAB XC8
  • OpenJDK
  • QNX C/C++
  • Renesas C/C++
  • SNC C/C++
  • SNC GNU C/C++
  • Sony ORBIS SDK
  • Sony PS4
  • STMicroelectronics GNU C/C++
  • STMicroelectronics ST Micro C/C++
  • Sun (Oracle) CC
  • Sun/Oracle JDK
  • Synopsys MetaWare C/C++
  • TASKING for ARM Cortex
  • TI Code Composer
  • Visual Studio
  • VisualDSP++
  • Wind River C/C++

クリティカル・チェック

  • API使用エラー
  • コーディング・エラーのベストプラクティス
  • ビルド・システムの問題
  • バッファ・オーバーフロー
  • クラス階層の不一致
  • コードのメンテナンス性の問題
  • 同時データアクセス違反
  • 制御フローの問題
  • クロスサイト・スクリプティング(XSS)
  • クロスサイト・リクエスト・フォージェリ(CSRF)
  • デッドロック
  • エラー処理の問題
  • ハードコードされた証明書
  • 不正な式
  • 整数の取り扱いの問題
  • 整数オーバーフロー
  • セキュアでないデータ処理
  • メモリー:破損
  • メモリー:不正アクセス
  • NULLポインタの参照先取得エラー
  • パス操作
  • 非効率なパフォーマンス
  • プログラムのハング
  • 競合状態
  • リソースリーク
  • コーディングルール違反
  • セキュリティ・ベストプラクティスの違反
  • セキュリティ設定ミス
  • SQLインジェクション
  • メンバーの未初期化

現在、オープンソース・コミュニティではLinux、Python、PostgreSQL、Firefox、OpenSSL、Perl、Apache Hadoopなど4,000を超えるプロジェクトでシノプシスの無償版Coverity Scanが利用されています。オープンソース・コミュニティへのこうした貢献についても、Coverity は誇りに思っています。

カテゴリートップ