• 関連の記事

「ソースコード解析」関連の最新 ニュース・レビュー・解説 記事 まとめ

「ソースコード解析」に関する情報が集まったページです。

組み込み開発ニュース:
アーキテクチャ分析ツールの最新日本語版を販売開始
テクマトリックスは、アーキテクチャ分析ツール「Lattix」の最新日本語版「Lattix 2022.1.1」の販売を開始した。ヒートマップ表示機能を追加した他、「Parasoft C++test」と連携している。(2022/8/12)

Innovative Tech:
Webサイトからのマルウェア感染を防ぐセキュリティシステム、韓国チームが開発 ゼロデイ攻撃にも対応
韓国の極東大学校と南ソウル大学校の研究チームは、Webサイトを介して配布されるマルウェアを検知する新たなセキュリティシステムを開発した。(2022/7/22)

GitHub直伝、「DevSecOps」初めの一歩(後):
セキュリティ事故を防ぎたいなら知っておくべき、「DevSecOps」における推奨事項
ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティの取り組みも欠かせません。そこで注目されているのが「DevSecOps」です。DevSecOpsを組織で推進するためには何から取り組めばよいのか紹介します。(2022/7/19)

シフトレフトやSCA、SAST、SBOMが役立つ:
ゼロトラストをアプリ開発にも適用、オープンソース脆弱性管理はどうする?
アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。(2022/7/5)

CIO Dive:
絶対強者のMSに並べ Googleはセキュリティ企業のリーダーになれるか?
昨今、深刻なソフトウェアサプライチェーン攻撃が続き、テクノロジー業界と政府がオープンソースソフトウェアの保護に関心を寄せている。Googleはこれを機にセキュリティ企業のリーダーとして名乗りを上げたいようだ。(2022/6/29)

車載ソフトウェア:
GitHubが車載ソフトのISO26262準拠を支援、ウーブン・プラネットと連携
GitHubは、トヨタ自動車傘下のウーブン・プラネット・ホールディングスとの連携により、コーディング規約であるCERT C++とAUTOSAR C++に準拠した「CodeQL」クエリをリリースしたと発表した。これによって「GitHub Code Scanning」に、自動車向け機能安全規格であるISO 26262に準拠しない記述を警告表示する機能が加わる。(2022/6/24)

新ブランド戦略に伴う「品質向上の効率化」の挑戦
品質と効率を両立、コード解析ツールの乗り換えの決断がもたらした効果とは
富士フイルムビジネスイノベーションは、海外進出を加速させる一方で、商品の品質向上と効率化の両立が課題だった。開発品質を高めつつ工数削減を両立させるに当たり、同社がコード開発ツールのリプレースに踏み切った理由は。(2022/6/27)

Arm64アプリのビルドとデバッグが可能に:
Arm64デバイスでネイティブ開発が可能に、「Visual Studio 2022 17.3 Preview 2」がリリース
MicrosoftはWindows 11向けのネイティブArm64アプリケーションとして「Microsoft Visual Studio 2022バージョン17.3 Preview 2」をリリースした。「Windows 11 Armデバイス」でArm64アプリケーションのビルドとデバッグをネイティブにサポートする。(2022/6/17)

Snykの導入経緯や効果を語る:
「デベロッパーファースト」のコードセキュリティツールはどう使える? ユーザーの感想は
「デベロッパーファーストのセキュリティツール」をうたうSnyk。実際にはどう使えるのか。グローバルなSaaSを開発しているユーザーが、導入の経緯や使い方、感想を語った。(2022/6/14)

小寺信良のIT大作戦:
日本のメディアはWWDCをどう報じたか Apple報道のエコシステム、その実態を探る
WWDC22ではM2搭載MacBook Airをはじめとする多数の製品発表が行われ、それらを報じた記事の数も膨大なものとなった。その内訳から、報道の実態がどのようになっているのかを探ってみた。(2022/6/11)

IT運用担当者が着目すべき「トイル」というキーワード:
PR:IT運用管理をめぐる状況は激変、これをチャンスとするには
DXの波により、IT運用管理をめぐる状況は激変している。既存システムの運用はますます効率化が求められ、新たなシステムでは短いリリースサイクルに運用も追随していかなければならない。これらにどう対処するか。「アシスト運用フォーラム」では具体的な解決策が提示された。(2022/6/9)

.NET 6移行入門(5):
「クロスプラットフォーム」が普及しなかった理由――.NET 6によって「クロスプラットフォーム2.0」は到来するか
.NET 6の現状を把握し、具体的な移行方法を学ぶ連載。今回は、「クロスプラットフォーム」が普及しなかった理由を考察し、.NET 6におけるクロスプラットフォーム技術についてまとめる。(2022/6/9)

既存の構造、方式からの完全脱却:
PR:仕様書約8000ページ、NTTドコモが巨大レガシーシステムをクラウドネイティブ化できた理由
NTTドコモは、1サービス当たりのソースコードが約50万ステップという巨大なレガシーシステムをマイクロサービスに分割し、コンテナ基盤で再構築した。どのようにモダナイゼーションを進めていったのか、同社の担当者が語った。(2022/5/31)

製品の排除で発生する危機
「Kaspersky製品を排除する必要はない」 それでも残るリスクとは?
英国の国家サイバーセキュリティセンターは、Kaspersky製品を排除する必要はないという見解を示した。急いで排除することで別のリスクが生じるという。ただし、使い続けることにはさらに別のリスクがある。(2022/5/24)

CodeQL、Dependabot、GitHub Actionsなどを活用:
Log4j脆弱性に55万件のアラート送信も――GitHubで安全なソフトウェアを作成する5つの簡単な方法とは
GitHubは、「GitHub」のネイティブツールや機能を活用してより安全なソフトウェアを作成する5つの方法を紹介した。(2022/5/17)

金融DX:
なぜスタートアップが一国の「デジタル通貨」を構築できたのか? ソラミツ 宮沢氏に聞くBakong開発の経緯
中国の「デジタル人民元」をはじめ、中央銀行が発行するデジタル通貨に注目が集まっている。カンボジアはデジタル通貨「Bakong」(バコン)を2020年から正式運用しているが、実は技術を提供しているのは日本のスタートアップ企業であるソラミツだ。ソラミツはどんな経緯から参画することになったのか。開発ストーリーに迫る。(2022/5/13)

真のモダナイゼーションはどこから始める?
「過去のソースコードの解析から」ではNG、SIerがDXを推進するために必要なこと
レガシーシステムのモダナイゼーションを進める上で重要な役割を果たすSIer。だが、既存システムのソースコードを解析し書き直す、今までと同じやり方に基づく提案しかできていないケースも多い。この現状を打破するには、何が必要か。(2022/5/9)

テストピラミッドとテストトロフィー:
統合テスト vs 単体テスト、なぜ統合テストの方が重要なのか――CoderPadが解説
CoderPadが公式ブログで、エンドツーエンドテスト、統合テスト、単体テスト、静的テストを比較し、統合テストの重要性を解説した。(2022/5/9)

アプリケーションは外部からの攻撃における最大の原因:
WhiteSource、静的アプリケーションセキュリティテスト(SAST)について解説
WhiteSourceは、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。(2022/4/15)

組み込み開発ニュース:
統合開発ツールチェーンが64ビットRISC-Vコアに対応
IARシステムズ(IAR Systems)の開発ツール「IAR Embedded Workbench for RISC-V」が、64ビットRISC-Vコアに対応した。RISC-V用ビルドツールと機能安全認証済みツールチェーンも合わせて提供する。(2022/4/6)

一から分かる! テスト自動化(2):
テスト自動化で「失敗しない」ために、何がいる? 必要なツールと手順をおさらい
テスト自動化に取り組みたいけれどノウハウがない、過去に導入していたがうまくいかなくてやめた人に向けて、テスト自動化の「あるある」な失敗事例とともにどうすればうまく取り入れられるのかを解説する本連載。第2回は自動化ツールの種類やテスト自動化に必要な手順について。(2022/3/18)

組み込み開発環境:
PR:組み込みソフト開発にCI/CDやコンテナを活用、IaCで開発基盤を最適化
組み込み機器のIoT化やコロナ禍によるリモートワークへの対応などによって、組み込みソフトウェアの開発基盤の新たなトレンドへの移行が加速している。さまざまなコーディング規約への対応で高い評価を得てきた、テクマトリックスが販売するテストツール「C++test」は、最新バージョンの「2021.2」でこれらのトレンドに対応する新機能を搭載した。(2022/3/8)

組み込み開発ニュース:
CI/CDプラットフォームとの統合を強化したC/C++言語対応テストツールを発売
テクマトリックスは、C言語およびC++言語対応テストツール「C++test 2021.2」の販売を開始した。GitHub、GitLab、Azure DevOpsのツール上で、SARIFやSAST形式でレポートを生成する機能を追加している。(2022/3/7)

「Ruby biz Grand prix 2021」表彰式レポート:
PR:新たなビッグビジネスを予感させる9サービスを表彰
まつもとゆきひろ氏によって開発されたプログラミング言語「Ruby」を活用し、新たなビジネス価値を創造するサービスや商品を展開している企業を表彰するビジネスコンテスト「Ruby biz Grand prix 2021」の表彰式が、2021年12月15日に開催された。(2022/1/18)

修正時に起きるバグの作り込みをどう考えるか:
バグを修正するには「3ステップ」が必要、なぜか
GitHubのセキュリティ研究者、ケビン・バックハウス氏は同社の公式ブログで、ソフトウェアのバグ修正の際に踏むべきステップを解説した。バグの起きた箇所を修正しなければならないのは当然だが、それ以外にも2ステップの作業が必要だという。(2021/11/24)

これで分かる「DevSecOps」の課題と解決【第1回】
「SAST」「DAST」「SCA」がDevSecOpsに向かない“なるほどの理由”
セキュリティを取り入れたアプリケーション開発手法「DevSecOps」ではさまざまなツールを利用できるが、それぞれに“ある問題”がある。それは何なのか。DevSecOpsの要件と共に解説する。(2022/4/25)

テスト自動化をざっくり解説:
5分で分かるテスト自動化
現在のソフトウェア開発に欠かせない「テスト自動化」について、およそ5分でざっくり解説します。(2021/10/27)

IoTセキュリティ:
TCP/IPスタックの脆弱性「INFRA:HALT」に見る、組み込み業界の課題と対策
2021年8月に発表された制御機器で広く利用されているTCP/IPスタック「NicheStack」の脆弱性「INFRA:HALT」。この脆弱性を発見したForescoutのダニエル・ドス・サントス氏とJFrogのシャハール・メナーシュ氏の講演では、INFRA:HALTや組み込みシステムのサプライチェーンが抱えるセキュリティリスクの解説に加えて、セキュリティリスクに強い仕組み作りへの提案などが行われた。(2021/10/12)

「中身を把握できないままアプリ改修はできない」:
PR:富士ソフトが「システム引き継ぎ」と「PCI DSS準拠」を両立させた“秘策”とは
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。(2021/10/12)

仮想環境を使ったクラウド時代の組み込み開発のススメ(5):
誰もが手軽にROSロボット/IoTシステムの開発に取り組める「RDBOX」とは
IoT/クラウドロボティクス時代のシステム開発を加速化する仮想環境の活用について解説する本連載。第5回は、“現実のインフラレイヤー”の構築と運用を含めて、自動化する「ツラさ」を乗り越えるための策として、筆者らが研究開発に取り組んでいるOSS「RDBOX」について紹介する。(2021/9/29)

はじめての単体テスト:
単体テストとは何か、なぜ必要なのか【前編】
本稿では、「単体テストとは何か?」「なぜ単体テストが必要なのか?」「どのようにすれば効率的に単体テストを行うことができるのか?」といった観点から、近年の組み込み業界の現状や単体テストについての基本的な知識を分かりやすく説明していきます。(2021/9/21)

アジャイル開発における品質管理(5):
アジャイルで開発したシステムをいざテスト→全然使えない! を防ぐ、テストの考え方総まとめ
少人数、短期間の開発を繰り返すアジャイル開発では、どのようにすれば品質を保つことができるのだろうか。本連載では、アジャイル開発における品質管理の手法を解説する。第5回は、システム全体の品質を担保しつつ、想定したリリース時期を守るためのポイントについて。(2021/9/16)

修理する権利とコネクテッドカー(2):
つながるクルマの「修理権」で想定される課題と懸念
前回の記事では、2020年に米国マサチューセッツ州で承認された「車両を修理する権利」の改正案を紹介した。今回は修理権に関するセキュリティの課題と懸念をさらに調査し、それらに対処するためのセキュリティのアプローチについて説明する。(2021/9/14)

大規模プロジェクトでのコード品質を確保する
「Javaで脱COBOL」に挑む損保ジャパン 成功のために選んだ手段とは
損保ジャパンの基幹システム刷新は、複数ベンダーが携わる大規模な開発プロジェクトだ。開発者の技術レベルが異なり、プログラミング言語が「COBOL」から「Java」へと変わる中、ソースコードの品質をどうやって確保したのか。(2021/8/31)

重要機能をほぼ網羅した優れたツール群:
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。(2021/8/19)

IoTセキュリティ:
数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。(2021/8/5)

基本からしっかり学ぶRust入門(1):
プログラミング言語「Rust」とは? "Hello, World!"で基本を押さえる
Rustはどのようなプログラミング言語なのでしょうか? 本連載のスタートとなる今回は、Rust言語の概略と、手元にRustの動作環境構築までを紹介します。導入で利用可能になるコマンドと、最初のHello, World!プログラムも取り上げます。(2021/7/28)

組み込み開発ニュース:
開発システムに合わせたソフトウェアのテスト自動化支援サービスを提供開始
テクマトリックスは、ソフトウェアのテスト支援や第三者検証のために「テスト支援・検証サービス」の提供を開始した。テストツール販売実績を生かして、機能テスト、APIテスト、負荷テストなどの自動化を支援する。(2021/7/21)

組み込み開発ニュース:
C言語コードの高速化を支援するソフトウェアのβ版を公開
オスカーテクノロジーは、C言語コードの高速化を支援するソフトウェア「OSCAR Multicore Suite」のβ版を公開した。β版公開中は、無料で使用できる。(2021/7/8)

組み込み開発ニュース:
IARの「Embedded Workbench」がラズパイピコのマイコン「RP2040」に対応
IARシステムズの開発ツール「IAR Embedded Workbench for Arm」が、Raspberry Piの「RP2040」ボードに追加対応した。(2021/6/28)

Visual Studio Codeで快適Pythonライフ:
VS Codeの拡張機能でPythonの仮想環境構築からコード整形、Lintまでを体験してみよう
簡単な関数を作りながら、VS CodeとPython拡張機能と各種モジュールを使って、仮想環境の構築、コード記述と整形、Lintによる問題点の発見までを見てみましょう。(2021/6/25)

Cloud Nativeチートシート(6):
GitLabによるCI実践入門――Kubernetesで利用するコンテナイメージをビルドする
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、GitLabによるCI(継続的インテグレーション)について解説します。(2021/6/22)

セキュアな車載ソフトウェア開発の在り方(3):
自動車のオープンソースソフトウェア管理のためのソフトウェアコンポジション解析
今回は、ソフトウェアコンポジション解析に重点を置く。最初に自動車業界におけるオープンソースソフトウェア(OSS)の課題の背景を説明し、次に実用的な解決策について説明する。(2021/6/7)

ニューノーマル時代のセキュリティ:
DXが進むと、セキュリティ担当者とインフラ担当者の役割はどう変わるのか
DXを進める上で、企業のセキュリティ担当者とインフラ担当者の役割はどう変化するのか。アジャイル開発に必要なセキュリティの実装について留意点をまとめる。(2021/6/1)

組み込み開発ニュース:
Linux用ビルドツールの対応製品を追加、「RL78」に対応
IARシステムズは、同社のLinux用ビルドツール「IAR Build Tools for Linux」が、ルネサス エレクトロニクスのマイクロコントローラー「RL78」ファミリーに対応したと発表した。開発からビルド、テストまでのプロセスを効率化する。(2021/5/31)

Cloud Nativeチートシート(5):
「Kubernetes Native」なCI/CDとは何か――クラウドネイティブ時代に至る歴史、主要ツール、パイプラインとフローの在り方
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Kubernetesの利用を前提とした「Kubernetes Native」なCI/CDについて踏み込んで説明します。(2021/5/28)

IoTセキュリティ:
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。(2021/5/24)

イノベーションのレシピ:
NECの技術はシリコンバレーで花開く、シーズから起業を狙う「NEC X」
NECは2021年5月18日、NECの先端技術を中核とする新事業創出を目的に設立したNEC Xの説明会を開催した。NEC Xはシリコンバレーの起業家や投資家のエコシステムを活用することで、これまでに3社の事業化に成功している。説明会ではNEC Xと米国トップアクセラレーターであるAlchemist Acceleratorとのパートナーシップ連携についても発表した。(2021/5/20)

「AIZU Online Judge」と「AtCoder」のデータを利用:
IBM、ソフトウェア開発へのAI活用を促進する大規模データセット「Project CodeNet」を公開
IBMはAIによるコードの理解と変換をサポートする大規模なオープンソースデータセット「Project CodeNet」を公開した。50種類以上のプログラミング言語で作成され、約1400万のコードサンプルで構成されている。正常に動作するコード以外にエラーを起こすコードも含まれており、AIの学習データとして役立つという。(2021/5/13)

Visual Studio Codeで快適Pythonライフ:
Visual Studio Codeから「Hello Python」してみよう
快適なPythonライフを現実のものとする第一歩として、Visual Studio CodeにPython拡張機能をインストールして「Hello Python」してみよう。(2021/4/23)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。