開発プロセスに脆弱性分析を、サムライズが米Fortifyの検査スイートを販売

サムライズは、ソフトウェアのソースコードを分析し、脆弱性の有無を検査する「Fortify ソース・コード・アナリシス・スイート」（SCA）の販売を開始した。

[ITmedia]

　サムライズは1月15日、ソフトウェアのソースコードを分析し、脆弱性の有無を検査する「Fortify ソース・コード・アナリシス・スイート」（SCA）の販売を開始した。

　SCAは、米Fortify Softwareが開発した、アプリケーションソフトの脆弱性検査スイート製品。5万種類以上の脆弱性ノウハウを用いてソースコードを多角的に分析し、正確かつ効率的に脆弱性を発見することができる。対応する言語はC/C++やJavaのほか、JSP、C#、VB.NET、Cold Fusion、PL/SQL、TSQLなどとなっている。

　製品は、分析エンジンとビューワ、分析ナレッジデータベースから構成されている。データベースには、脆弱性そのものの情報だけでなく、影響度や対処方法に関する情報も含まれる。これにより、各脆弱性のリスク分析や改修コストなどを総合的に評価したうえで、修正の優先順位を決定することができる。

　さらに、IDEプラグインを活用すれば、既存の開発環境や開発プロセスに脆弱性検査のプロセスをシームレスに組み込むことが可能だ。脆弱性の洗い出しと対処を出荷前に行える体制を整えることで、セキュリティ品質の高いソフトウェアを開発できるように支援する。

　サムライズではSCAを用いたホワイトボックステストに、ファイアウォールやIDSといった防御手段、外部からのブラックボックステストツールを組み合わせることにより、より万全なシステム強化が図れるとしている。