セキュアなアプリケーションを実現する開発支援ツール|FORTIFY SOURCE CODE ANALYSIS SUITE|株式会社SRA
Fortify SCA TOP
1.品質向上への取り組み
2.Fortify プロダクト紹介
3.セキュリティ動向
4.SCA機能紹介
5.資料請求・見積依頼
6.お問い合せ
TOPICS
FORTIFY導入事例レポート公開!
フォーティファイ・ソフトウェア
株式会社SRA|FORTIFY 導入活用レポート
プロローグ事例1事例2
導入活用レポートPDFをダウンロード(590KB)
CASE 01:化学品製造メーカー様向けプロジェクト
システムの公開範囲や用途に合わせて、FORTIFYの機能を巧みに調整。事前にテンプレートをチェックしたことで、レポートのチェックもスムーズに。今後はより複雑な機能も使いこなし、さらなる運用の効率アップを目指す。
プロジェクト概要
古澤:「ある化学品製造メーカー様が、自社製品の製造工程管理をするために使用するシステムの開発で、FORTIFYを使用しています。UI数60規模のシステムで、最多同時接続は、20程度です。」
赤澤:「毎朝私が手動でFORTIFYを実行しレポートをチェックする方法で運用しています。基本的にはFORTIFYがデフォルトで設定しているエラーのレベルで切り分けをして、レベルが一番高いもののみ伊東リーダーにチェックをしてもらっています。」
古澤:「2年目の赤澤には、ちょうどいい勉強にもなっているみたいです。(笑)」
目的と成果
伊東:「今回のシステムではFORTIFYの導入が必須というわけではありませんでした。明確な目的としては1点、他のチェックツールがあまり対応していない、C#などの言語に対応しているFORTIFYの機能を見てみたかったというのがあります。」
古澤:「予想以上によくエラーを検出してくれています。ただし、FORTIFYを他のプロジェクトで使っているメンバーから『検出されるエラーの件数が多過ぎる』というような話を聞いていたので、そこは少し工夫をしました。テンプレートとなるソースコードをつくり、事前にFORTIFYでチェックしたのです。このことにより、FORTIFYが設定しているエラーのどのレベルまでを人が再度チェックすべきかを決めることができ、チェックの手間をかなり減らすことができました。」
伊東:「ポイントは、チェックし過ぎないということです。セキュリティ要件を満たしてさえいれば、それ以上深追いすることはコストの肥大化につながるだけなので必要ありません。機能面では、短時間で大量のソースコードをチェックできるのはすごく助かりますね。単純な量の問題だけではなく、組み合わせでチェックをする必要があるもの、たとえば始めと終わりがセットになっていないとエラーとして検出されてしまうようなもののチェックには、とても重宝しています。」
photo
産業開発統括本部 流通・基幹システム部 プロジェクト マネージャ 古澤秀樹
photo
産業開発統括本部 流通・基幹システム部 プロジェクト リーダー 伊東大輔
photo
産業開発統括本部 流通・基幹システム部 プロジェクト メンバー 赤澤一輝
課題と今後の取り組み
赤澤:「確実に使えるようにはなってきて、最初のハードルは越えたところなので、今後はまだ使えていないフィルタリング機能や、前日との差分のみを表示する機能を覚えてもっと効率よく運用できるようにしていきたいです。」
伊東:「システム開発における大事な要素として、いかに効率よくやるかということがあると思っています。そのために自分でツールを作ったりすることがコーディングの勉強にもなるので、プロジェクト全体の工数を少なくするという目的だけではなく、自分の勉強のためにもしっかりやってほしいですね。もちろんやり過ぎてコストがかかり過ぎては本末転倒なので、今のシステムに合ったかたちで使いこなしてほしいと思います。」
POINT
next→→事例2へ
最新バージョンのAdobe Readerのダウンロード
Copyright© Software Research Associates, Inc. All Rights Reserved.