様々な言語で記述されたソースコードを解析し、品質・セキュリティ上の問題を発見し、すばやく原因の特定、修正が可能です。
IPAのWEBサイト、セキュアプログラミング講座内のソースコードの 『静的検査に利用できるツール』 として Fortify SCA は紹介されています。
システムダウン、フリーズなどに繋がる致命的な問題から、セキュリティに関する問題まで幅広く検出します。
[検出カテゴリ例]
NULL ポインタ参照
メモリリーク
メモリダブルフリー
バッファオーバーフロー
フォーマットストリング
変数初期化漏れ
コマンドインジェクション
SQL インジェクション
クロスサイトスクリプティング 等(350種類以上)
■制御やデータの流れをロジカルに分析し、解析精度を向上
Audit Workbench のフローダイアグラム画面
(クリックすると画像が拡大します)
| 分析エンジン | 概要 |
| データフロー | 危険なデータの流れを追跡します。 |
| 制御フロー | 危険な制御の流れを追跡します。 |
| ストラクチュアル | プログラムの構造や定義内の欠陥を検出します。 |
| コンフィグレーション | 設定ファイルにおける誤りを検出します。 |
| セマンテック | 関数やAPIの潜在的に危険な利用方法を検出します。 |
■解析が容易
独自の GUI である Audit WorkBench の他に、Visual Studio や Eclipse 等の統合開発環境へのプラグイン機能をサポートしているため、容易にソースコード解析を実行することが可能です。また、コマンドラインから高度なオプションを使用した解析もサポートしているため、バッチファイル等により柔軟に解析を実施することが可能です。
■問題の特定、修正が容易
問題の重要度、なぜそれが問題なのかを、どう対策すれば良いかを詳細に解説し、具体的なソースコードの記述例を挙げて提示します。これらの情報から、開発者のスキルアップを図ることができます。また、Visual Studio や Eclipse 等の統合開発環境へのプラグイン機能を利用することにより、問題を特定し、すばやく修正することが可能です。
Audit Workbench の関数の戻り値をチェックしていない問題の解説画面
(クリックすると画像が拡大します)
■検出ルールのカスタマイズに対応
■SCA のコンポーネント
| コンポーネント | 概要 | 備考 |
| SCA Engine | ソースコードを分析するエンジン本体です。 | |
| Audit Workbench | SCA Engineによって分析された結果ファイルを利用し、ビジュアルに問題の箇所、概要、修正方法の閲覧や修正を行うことができます。 | |
| セキュアコーディングルールパック | セキュアコーディングのノウハウを蓄積したルールファイルです。ネットワークを通じて取得します。 | |
| Rules Builder | 独自にルールを作成する場合に利用するツールです。 | |
| IDE Plugin | Audit Workbenchの機能を Visual Studio、Eclipse 等の統合開発環境から利用するためのプラグインです。 | |
| Team Server | SCA によって分析した結果をブラウザを経由して情報共有することが可能です。 | オプション |
■システム要件
