SCAは、様々な言語で記述されたアプリケーションソースコードを解析し、セキュリティ上の問題を発見、短時間に原因の特定、修正を行うことができます。
セキュリティ問題を発見
SCAはアプリケーションソースコードをスキャンし、そこに潜むセキュリティ上の問題を350種類以上のセキュアコーディングルールを利用して発見します。また、セキュリティ上の問題だけでなく、システムの信頼性に影響を与える問題も指摘します。
幅広い言語に対応
SCAはC/C++, JAVA, JSP, C#, VB.NET,ASP.NET, 旧ASP, VB6, VBA, VBScript, PHP, Javascript, ColdFusion, PL/SQL, TSQLなど対応言語が広く、また、JSP, JAVA, SQL等の複数言語を利用しているシステムも一括してスキャンを行うことができます。対応言語も年々増加しています。
問題の概要と推奨対策を解説
SCAは問題の発見だけでなく、何故それが問題なのか、どう対応すべきなのか、詳細な情報を提供します。開発者はこれら情報を通してスキルアップを図ることができます。また、監査者は、これらの情報を使い、詳細な監査レポートを作成することができます。
大規模コードへの対応
何百万行もあるソースコードをデータの流れ、プログラム構造、フロー制御など様々な角度から分析し、短時間にチェックを行うことができます。人手では不可能なコード全体の詳細なコードレビューが可能になり、高い品質のアプリケーションを開発することができます。
開発、品質検証、受入テストなど開発工程の様々な段階で活用されています
SCAは開発プロジェクトだけでなく、品質管理業務やユーザーの受入検査業務などでも活用されています。また、ソースコード検証を行っている第三者検証サービス企業にも多数導入されております。
セキュアコーディングルールは、SCAが脆弱性を分析するために必要なセキュリティノウハウを凝縮した、セキュアプログラミングナレッジデータベースです。セキュアコーディングルールを利用することにより、専門的なセキュリティノウハウを使ってソフトウェアに潜む脆弱なコードを迅速に発見し、修正をすることができるようになります。
専門的な知識を提供
ルールには専門的な研究や開発の実践によって培われたセキュアプログラミングの手法やサードパーティーライブラリ等に関する様々なセキュリティプログラミングのノウハウがセキュアコーディングルールとして組み込まれ、350種類以上のセキュアカテゴリー、50,000種類以上の問題パターンを蓄積しています。
最新のセキュリティノウハウ
変化するコンピュータセキュリティに対し、最新のセキュアコーディングルールを適用することで、ソフトウェアのセキュリティ脆弱性を常に最小化することができます。フォーティファイソフトウェアの調査チーム、テクニカルパートナーが常にセキュリティの最新動向を研究・分析しており、その成果は、ルールに反映され、ネットワークを通じて最新のセキュアコーディングルールをダウンロード、利用することができます。
提供しているセキュリティカテゴリー(一部) |
||||||||||||||||||||||||||||||
|
SCAは以下のコンポーネントをまとめたスイート製品です。
| 分析エンジン | コマンドラインからスキャンを実行することができます |
| IDEプラグイン (w/ 分析エンジン) |
Eclipse, WSAD, RAD, Visual Studioに対応したプラグイン製品です。 これらIDE環境からスキャンの実行、結果の閲覧、コード修正を行うことができます |
| オーディット ワークベンチ | スキャン結果をグラフィカルに確認し、コード修正が行えるGUIツールです |
| カスタム ルールズ エディター | 独自ルールを作成するためのGUIツールです |
| チーム サーバー | SCAによって分析した結果をブラウザーを経由して複数の人が閲覧や問題の管理を行うことができるサーバー製品です |
| フォーティファイ マネージャー | スキャン結果の詳細なレポート、問題への対応状況など、プロジェクト管理に必要な機能を持ったサーバー製品です |
※一部コンポーネントはオプションとなります
