アシストは2022年1月27日、英Micro Focusのソースコード解析ツール「Fortify Static Code Analyzer(Fortify SCA)」の販売を開始した。Webアプリケーションなどのソースコードを静的に解析して、メモリリークなどの不具合やSQLインジェクションなどの脆弱性を検知するツールである。具体的にどのように修正すれば良いかまでアドバイスする。
「Fortify Static Code Analyzer(Fortify SCA)」は、ソースコードの静的解析ツールである(図1)。Webアプリケーションなどのソースコードを解析し、メモリーリークなどの不具合やSQLインジェクションなどの脆弱性を検出する。さらに、具体的にどのように修正すれば良いかをアドバイスする。単体テストや結合テスト、稼働後ではなく、開発工程の初期の段階で不具合や脆弱性を潰しておくことで、アプリケーション開発の手戻りを減らせる。
図1:静的解析ツール「Fortify SCA」の概要(出典:アシスト)拡大画像表示
統合開発環境のプラグインとしても動作するため、CI/CDのツールチェーンにFortify SCAを組み込んで利用できる。ビルド、テスト、デプロイまでの一連のプロセスに、静的解析を組み込める。
特徴の1つは、大量の修正指示の中から必要な修正指示だけを抽出するノイズキャンセル機能を搭載したこと。マシンラーニング(機械学習)を活用することで、利用企業にとって修正が必要な不具合に限ってチェックするとしている。これに対して一般的な静的解析ツールは修正する必要のない箇所(ノイズ)も検知するので、本当に対応すべき箇所を見極めることに余計な時間を費やしてしまう。
解析対象の環境/言語は、以下の通り。Webアプリケーション環境に強く、以下の31言語を解析できる。
- .NET Framework
- .NET Core
- ABAP/BSP
- ActionScript
- Apex
- ASP.NET
- C#
- C/C++
- Classic ASP(with VBScript)
- COBOL
- ColdFusion
- Go
- HTML
- Java(including Android)
- JavaScript
- JSP
- Kotlin
- MXML(Flex)
- Objective-C/C++
- PHP
- PL/SQL
- Python
- Ruby
- Scala
- Swift
- T-SQL
- TypeScript
- VBScript
- Visual Basic(VB.NET)
- Visual Basic
- XML
