米国Synopsysは7月11日、静的コード解析ツール「Coverity」の最新バージョン(8.5)を発表した。
Coverityは、ソースコード解析によって、ソフトウェア開発ライフサイクルの初期段階で重大なセキュリティ脆弱性や欠陥を検出するテスト自動化ツールで、同社ソフトウェアインテグリティプラットフォームの中核ツールに位置付けられ、業界をリードする静的コード解析ツールとされる。今回のバージョン8.5では、セキュリティ解析機能やレポート機能を強化し、ウェブ/モバイル向けアプリケーションや車載ソフトウェア、その他のセーフティクリティカルなシステムを開発している業界での活用を促進する重要なエンハンスメントが施された。
解析機能については、ウェブアプリケーション向けのプログラミング言語として採用が進んでいるRubyならびにNode.jsの解析機能を追加し、エンタープライズアプリケーション向けの機能を強化している。また、危機感が高まっているモバイルセキュリティの問題に対処するため、Androidアプリのセキュリティ解析機能も追加された。さらに、サポート済みの各種プログラミング言語のセキュリティ解析機能も強化され、OWASP Top 10(Webアプリケーションの脆弱性のトップ10)、CWE/SANS Top25(ソフトウェア脆弱性のトップ25)などで指定されているさまざまなソフトウェアの弱点を検出することが可能。
車載ソフトウェア向けには、広く用いられているMISRA C 2012(ソフトウェアコードのセキュリティ対策促進のためのコーディングガイドライン)の完全サポートにより、自動車、その他のセーフティクリティカルな業界でのソフトウェア開発支援機能を強化している。シノプシスは、コネクテッドカーや自動運転などの普及に向けた車載システムのセイフティ/セキュリティ対策に継続的に取り組んでおり、今回の強化は5月に“シノプシス、より安心/安全な車載ソフトウェアの開発に向けてソフトウェアインテグリティ戦略を強化”として発表した内容に続くものという。
本バージョンで強化された統合環境とレポート環境としては、最新のIDE(Integrated Development Environment:統合開発環境)と、“ソフトウェアインテグリティレポート”(Coverityをはじめ、ファジングテストツール Defensicsやソフトウェアコンポジション解析ツール ProtecodeTMsupply Chainなどのソフトウェアインテグリティプラットフォーム構成ツールによる解析結果の概要を一覧表示したレポート環境)を提供する。
そのほか、本ツールのユーザー拡大とアジア・パシフィック・エリアでのソフトウェア・インテグリティ事業の進展に対応し、中国語(簡体字)にローカライズしたユーザーインターフェイス、レポート機能、IDEプラグイン、各種文書の提供も開始した。
同社ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー兼上級副社長のAndreas Kuehlmann氏は、以下のようにコメントしている。
「ソフトウェアの脆弱性の問題は、あらゆる業界にとって深刻な脅威となっています。開発対象がパーソナルバンキング用のWebアプリケーションであれ、自動車向けの組込みシステムであれ、Coverityのようなソフトウェアテスト自動化ツールを用いて、ソフトウェア開発ライフサイクルの初期段階で脆弱性や不具合に対処しておくことが非常に重要です。Coverity 8.5では、解析機能の強化と拡張により、エンタープライズアプリケーションはもちろん、自動車のように、深刻化するセキュリティの脅威に常にさらされ続けているセーフティクリティカルなシステムのセキュリティ対策を拡充しています」