ソースコードの脆弱性を診断、みずほ情報総研がサービス提供開始:コンサルティングサービスも用意
みずほ情報総研は、「ソースコード脆弱性診断サービス」の提供を開始すると発表した。みずほフィナンシャルグループ内で培ったソースコードの静的解析に関するノウハウを活用するという。
みずほ情報総研は6月18日、アプリケーションソフトウェアのソースコードから、セキュリティ上の脆弱性を診断する「ソースコード脆弱性診断サービス」の提供を開始すると発表した。日本ヒューレット・パッカードのソースコード静的解析ツール「HP Fortify SCA」を利用し、みずほフィナンシャルグループ内で培ったソースコードの静的解析に関するノウハウを活用するという。アプリケーションへの脆弱性の混入を開発初期段階で防ぐことで、後工程での手戻り修正コストの発生を回避できるほか、脆弱性の根本原因を特定することで、より安全性の高いアプリケーション開発を支援するとしている。
一般に、ソースコードの静的解析ツールを導入するには、初期導入費用が高く、運用スタッフに対して解析手法の教育が必要になるなど、費用面や管理面などでの負担が大きい。これに対してみずほ情報総研が提供するサービスの価格は1診断当たり95万円(税別)からに抑え、ツールを利用するのに当たって特別な教育も必要ない。さらに、ツールが出力した結果を吟味して、その後の対策などについての優先順位付けや開発体制の構築を支援するコンサルティングサービスも用意する。
解析結果の提供までにかかる時間は約1週間で、対応言語はJavaやC/C++、ASP.NET、JavaScript、PHPなど21言語。検出可能な項目は、SQLインジェクションやクロスサイトスクリプティング、バッファオーバーフローなど。iPhoneやAndroid向けアプリケーションの解析も可能である。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
@IT セキュリティソリューションLive! in Tokyo レポート:新たな脅威に「気付く」「対処する」ポイントとは?
毎年恒例となりつつある「@IT セキュリティソリューション Live! in Tokyo」が、今年も2月21日に東京都内で開催された。セミナーでは特に、巧妙化する標的型攻撃対策や安全なモバイルデバイスの活用などがテーマとなった。その模様を紹介する。
Java 7に正式対応、大規模プロジェクト向けに性能も向上:テクマトリックス、Javaアプリテストツールの新版リリース
テクマトリックスは2月18日、米Parasoftが開発したJavaアプリケーション向けテストツールの新バージョン、「Parasoft Jtest 9.5」の販売を開始した。
コーディングチェックもテストも:C#、C/C++ソフトウェアのテスト駆動開発をスピーディに
テクマトリックスは米Parasoftが開発するソフトウェアテストツール2製品の新版を発表。テスト駆動開発の“手間のかかるところ”をサポートする- 「カバレッジ100%」ではなく重要なポイントに絞りテストも効率化:「開発段階で脆弱性をつぶす」、コベリティがテストツール