□Fortify SCA (Source Code Analysis)について

「Fortify SCA」は、ソースコードを静的に解析して「脆弱性」、「品質にかかわる問題点」を発見・可視化する　　ツールです。ソースコードも問題点を「問題の場所」、「原因」、「問題の概要」として指摘するのみでなく、それらへの「推奨対応方法」についても提示します。
また、ソースコードを静的に解析しますので、開発工程の途中でもチェックが可能です。

ソースコードの解析においては、Fortify社独自の「セキュア・コーディング・ルール」を適用します。
このルールは、３〜４回／年の頻度で更新され、解析精度は着実に向上しています。

また、「Fortify SCA」は、セキュリティの脆弱性だけでなく、言語やフレームワークごとの品質チェックルールも有し、それを基にチェックを行います。さらに、独自のチェックルールを追加することもできます。これによりソフトウェア自体の品質検査が可能となります。

□従来の脆弱性の発見は・・・

例えば、Webアプリケーションの場合、従来はシステム完成時に擬似アタック等の手法によるセキュリティテストが行われていました。しかし、このようなアプローチだけでは、問題点の発見が「統合テスト」まで遅れ、結　果、大幅な修復のための費用・期間が必要になりました。

「Fortify SCA」を使用することで、セキュリティの問題点を早い段階でチェックすることが可能となり、チェックによる手戻り作業とカットオーバー変更等を最小限に防ぐ効果が得られます。

Fortify Source Code Analysis Suite (SCA) は、ソフトウェアのソースコードを多角的に分析し、そこに潜む脆弱性を正確にかつ、効率的に発見、修正することができるソフトウェアスイートです。このソフトウェアスイートには、脆弱性分析エンジン、分析ビューワー、分析ナレッジデータ、IDEプラグイン等、脆弱性発見と修正に必要なソフトウェア群で構成されています。

• データフロー、制御フローの解析
  単純なパターンマッチングではなく、データフロー、制御フローを解析し、高精度で脆弱性を検出します
• 詳細の解説とトレースデータの提供
  解析結果と共に、検出された問題の解説、推奨される対応方法が提供されますので、技術者のスキルアップにもつながります
• 問題優先順位付け
  検出された問題を緊急度に応じて重大、警告、情報の３つのレベルに分類します
• 独自ルール作成
  GUIのツールにより、独自ルールの追加が可能です
• マルチ言語、マルチプラットフォーム
  さまざまな言語、プラットフォームに対応しており、今後も追加されていく予定です
  ※詳細は動作環境を参照
• サードパーティライブラリを含めた充実したルール
  例えばJavaであれば、struts、spring、Hibernateといった一般的によく利用されるフレームワークも標準ルールでサポートされます
• 既存の開発環境への容易なインテグレーション
  さまざまなIDEへのプラグインが提供されています
  ※詳細は動作環境を参照

[対応プラットフォーム]
Windows 2000/XP/2003, Solaris 8/9, Red Hat Linux, Fedora Core, SUSE, AIX, HP-UX, Mac OS X

[対応言語]
Java, C, C++, C#, VB.NET, ASP.NET, ASP, JSP, JavaScript, PHP, Cold Fusion, PL/SQL, T-SQL, COBOL

[対応開発環境]
Eclipse 2/3,
Microsoft Visual Studio .NET 2003/2005/2008,
Rational Application Developer,
WebSphere Application Developer