導入事例PDFをダウンロード（610KB） 動作検証に協力してくれるプロジェクトを募るところから、FORTIFYの試験運用は始まりました。はじめのうちはモジュール単位でFORTIFYによる検査をし、その後開発者と検査結果のチェックを行うことで、検知ロジックの妥当性・有用性を評価しました。開発者が気づかなかった観点で不具合を検知してくれる点が大変好評で、検知結果を以降のコーディングにフィードバックできるのが大きな魅力です。ミスを起しやすい関数の使用や記法も検知されるため、開発者のコーディングスタイルの向上にも役立つと期待しています。 また、試験導入の早い段階でよい反響があったため、FORTIFYの結果を用いたセキュアコーディングの研修も実施したところ、そちらもやはり好評でした。ただのツールとしてではなく、開発者の品質やセキュリティへの意識も高めてくれるため、結果的に製品の安定性・信頼性を総合的に向上できました。 今後、FORTIFYの運用をスムーズに進めていくためには、膨大な件数の検知結果を効率よく処理する方法の確立が必要不可欠だと考えています。たとえば、ソースコードの中のコメントや関数に“password”という文字列が入っていると、パスワードが ハードコードされている恐れがあるため検知されるのですが、ハードコードの恐れが無いと分かっている場合には、この検知は不要です。これに関しては、FORTIFYの機能でクレンジングルールを追加して、解消していくことが可能です。 また、試験運用では開発者に検査結果を渡す前に、「種別（セキュリティに関するものか、品質に関するものか）」「重要度（早急に改修が必要か、そうでないか）」「工数（改修は関数単位か、数行単位か、仕様変更が必要か）」という基準で項目に優先順位付けをしていましたが、こちらに関してもさらなるブラッシュアップが必要です。これら2つの作業を効率的に行うための仕組みが整えば、工数削減という面でもFORTIFYは大きな効果を発揮してくれると思っています。 Copyright© Software Research Associates, Inc. All Rights Reserved.