　東陽テクニカは2018年1月5日、プログラムのソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。提供方法および価格は、1アカウントで1プロジェクトを対象とし、解析が1回可能な「Cxクラウド 1スキャンサービス」が20万円、1カ月間であれば何回でも解析可能な「Cxクラウド 1カ月間パック」が50万円となっている。

　今回提供するCxクラウドは、イスラエルのソースコード解析ツールベンダー・Checkmarxが提供する脆弱性静的解析プラットフォーム「Checkmarx CxSAST」を、クラウド上で手軽に利用できるようにしたものだ。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断することで、ソースコードの安全性を早期に把握できるため、修正による手戻りコストの削減につながる。

「Checkmarx CxSAST」の機能概要出典：東陽テクニカ

　同サービスは、Java、JavaScript、VB.NET、C#など20種類のプログラミング言語とスクリプト言語に対応。SpringやNode.js+Expressなど広く利用されているフレームワークにも対応している。また、最適な修正ポイント候補を提案する機能を有し、PCI DSS（Payment Card Industry Data Security Standard）2やCWEなどのセキュリティガイドラインにも対応している。

　プログラムの脆弱性診断は、ソースコードのコンパイルおよびビルド後にそのアプリケーション解析を外部からレポートしてもらう方法が主流だ。しかしこの方法では、検出できる脆弱性が限られていたり、解析するのが完成間近のアプリケーションであったりするために、修正が発生した場合、コストの増大や製品リリースの遅延を招くといった課題があった。

関連キーワード

クラウド | 脆弱性 | ソースコード解析 | 組み込み開発ニュース | 静的解析

タダでソフト開発の生産性と品質を上げる方法（1）：意外に使える無料のソースコード測定ツール「SourceMonitor」
「“くみこみ”な話」の新シリーズが開幕。テーマは「タダでソフト開発の生産性と品質を上げる方法」です。第1回は、ソースコードを簡単に分析し、計測するフリーツール「SourceMonitor」を紹介します。
組み込みソフトウェア開発者に贈る「静的解析・動的解析」の必要性
組み込みソフトウェア開発における「静的解析」「動的解析」を、“なんとなく”行っていないでしょうか。開発効率の向上や品質改善に欠かせないこれらを活用するため、まずはその必要性について解説します。
バイナリーへの静的解析で車載ソフトのセキュリティ評価期間を6000分の1に短縮
QNXソフトウェアシステムズは、「オートモーティブワールド2018」において、組み込みソフトウェアのバイナリーコードに対する静的解析が可能なクラウドベースのテストツール「BlackBerry Jarvis」を展示した。先行ユーザーであるJaguar Land Roverは、コードのセキュリティ評価期間を従来の30日から6000分の1以下となる7分に短縮したという。
バイナリーを対象に静的解析、派生開発に焦点を当てた「リゾルバー」
DTSインサイトは、「第20回組込みシステム開発技術展（ESEC2017）」において、静的解析ツール「Re:Zolver（リゾルバー）」を展示した。コンパイルを終了した後のオブジェクトコード（バイナリー）を対象にしており、派生開発に焦点を当てた機能を特徴としている。
OSSベース開発プロジェクトでセキュリティ対策への取り組みが大幅に増加
シノプシスは、オープンソースソフトウェアのクオリティーとセキュリティに関するレポートを発表した。セキュアなソフトウェア開発への取り組みが大幅に活発化していることが明らかになった。
「C++test」がMISRA C 2012を完全サポート、CERT C対応でセキュリティも確保
テクマトリックスは、米国パラソフトのC／C++言語対応テストツール「C++test」の最新バージョン「C++test 10.3.2」の販売を開始する。MISRA C 2012への完全対応やCERT Cコーティングスタンダードへの対応など静的解析機能を大幅に強化したことが特徴。