「ソースコード解析」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Pythonに潜むゼロデイ脆弱性を発見？　LLMを活用したツール「Vulnhuntr」とは
Protect AIはAI脅威インテリジェンスツール「Vulnhuntr」がGitHubのPythonプロジェクトから複数の重大なゼロデイ脆弱性を発見したと発表した。このツールはLLMを活用してコードを分析し、複雑な脆弱性を効率的に検出する。（2024/10/23）

「メモリ安全でない既存のコードを全て書き直す必要はない」：
6年間でAndroidにおけるメモリ安全性の脆弱性を76％から24％まで低減　Googleが語る「Safe Coding」のアプローチと教訓とは
Googleは公式ブログで、2019年から2024年までの6年間で、Androidにおけるメモリ安全性の脆弱性を76％から24％まで低減できたと明らかにした。Googleはソフトウェア開発における「Safe Coding」のアプローチの重要性やメリットを解説している。（2024/10/17）

Cybersecurity Dive：
企業がOSSメンテナーに“ただ乗り”　この風潮はいつ是正されるのか？
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。（2024/10/12）

TechTargetジャパンエンジニア読本集
ChatGPTを脆弱性検出ツール「SAST」として使える方法はこれだ
脆弱性を検出する「SAST」ツールとして「ChatGPT」を生かすには、どうすればよいのか。ChatGPTは従来のSASTツールに取って代わることができるのか。実例を交えながら、その可能性と課題を探る。（2024/10/9）

組み込み開発ニュース：
ブラック・ダックが復活、シノプシスのSIGは独立企業として羽ばたく
シノプシスのソフトウェア・インテグリティ・グループ（SIG）は2024年10月1日、ブラック・ダック・ソフトウェア（Black Duck Software, Inc.）という社名で独立したことを発表した。日本法人の「ブラック・ダック・ソフトウェア合同会社」も発足している。（2024/10/2）

「Oracle Cloud Infrastructure」や「Oracle Database」を中心に：
「Oracle CloudWorld 2024」開発者向け発表内容のハイライト　生成AI時代のアプリ開発を支援するOracleのテクノロジーとは
Oracleは2024年9月に米ラスベガスで開催した「Oracle CloudWorld 2024」に合わせ、「Oracle Cloud Infrastructure」や「Oracle Database」に関する複数の新機能、サービスを会期中に発表した。本記事では、特に開発者やITエンジニアに関わる内容に絞って発表内容をお伝えする。（2024/10/2）

組み込み開発における生成AI活用【後編】
生成AIは「図面」が苦手？　三菱電機は“PoCの壁”をどう乗り越えたのか
生成AIを用いたソフトウェア開発の効率化を目指す三菱電機だが、PoC（概念実証）で生成AIの技術的な限界に直面したという。どのような方法で課題を克服したのか。プロジェクトの成果や展望を紹介する。（2024/10/1）

ソフトウェアテスト：
PR：動的テストツールの採用で組み込みソフトの処理性能計測工数を60％削減
ハートランド・データの動的テストツール「DT+」のユーザーズカンファレンスにアズビルの加地孝敏氏が登壇。ビルディングオートメーション事業で展開する制御機器の組み込みソフトウェア開発における処理性能計測や不具合解析の事例を紹介した。（2024/10/1）

テストやQAを取り巻く現状の課題はCrowdStrike障害の原因？：
AI駆動のテスト自動化ベンダーLaunchableを買収して川口耕介氏を復帰させるCloudBeesの意図
TechTargetは、「CloudBeesによるLaunchable買収とAI駆動のテスト自動化ツールの現況」に関する記事を公開した。Jenkinsの生みの親でLaunchableの共同CEOを務める川口耕介氏がCloudBeesに復帰する。LaunchableはAI駆動のテストを最適化して、AIが生成するコードの流れを食い止めることを目指していた。（2024/9/27）

DevOpsはCI/CDだけじゃない：
改めて学ぶDevOpsの基盤　「CI」「CT」「CD」の役割とは
TechTargetは、「CI、CT、CDをDevOpsパイプラインにまとめる方法」に関する記事を公開した。DevOpsパイプラインを構成するのはCI/CDだけではない。継続的テスト（CT）も重要な構成要素の一つだ。（2024/9/30）

ITmedia Security Week 2024 夏：
ググっても出てこない「サイバー攻撃者のAI活用」のリアル――AI時代の「アタックサーフェス」再定義
2024年8月30日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「アタックサーフェス管理」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情」と題して講演した。（2024/9/25）

特選プレミアムコンテンツガイド
「ChatGPT」「Gemini」の違いや活用方法は？　生成AIツール実践ガイド
「ChatGPT」と「Gemini」にはどのような違いがあるのか。生成AIの回答を改善するためのプロンプトの作り方とは。生成AI活用に当たっての基礎知識と、利用時のこつをまとめて紹介する。（2024/9/16）

通信大手BTのAIコーディング活用術【前編】
Amazon Q「自動コード生成」で開発者1200人が奮起　もう“手書き”に戻れない？
通信大手BTは、同社の開発者約1200人向けに「Amazon Q Developer」を導入した。導入の成果や、開発者の生産性を高める上で欠かせなかったことについて解説する。（2024/9/13）

AIで名前付けやデバッグなども効率化：
「Visual Studio 2022 v17.11」で「GitHub Copilot」のAI支援はどこまで便利になるのか？
Microsoftは、2024年8月にリリースした「Visual Studio 2022 バージョン 17.11」の最新の「GitHub Copilot」機能を公式ブログで紹介した。（2024/9/4）

セキュリティニュースアラート：
GitHubが新機能「Copilot Autofix」の提供を開始　ソースコードの脆弱性検出を高速化
GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。（2024/8/19）

GPT-4oも活用：
GitHub、AIでコード脆弱性を自動修正する「Copilot Autofix」を正式リリース　修正時間をどれだけ短縮できる？
GitHubは、「GitHub Advanced Security」機能の一部として、AIを用いてコード内の脆弱性の迅速な修正を支援する「Copilot Autofix」の一般提供を開始した。（2024/8/19）

ChatGPTはSASTツールになるのか【後編】
「ChatGPT」が「SAST」ツールの座を奪う？　実力と見えてきた課題
開発者の中で「『SAST』ツールの代替として『ChatGPT』が使えるのではないか」といった期待が高まっている。ChatGPTは脆弱性を正確に見つけ出し、SASTを超えることができるのか。（2024/8/16）

Cプログラムのメモリ安全性の脆弱性を解消する取り組み：
米国国防総省のDARPA、CからRustへのコード変換を自動化する「TRACTOR」プログラムを開始
DARPAは、C言語コードからRust言語のコードへの変換を自動化することを目指す「TRACTOR」プログラムを開始した。（2024/8/14）

ChatGPTはSASTツールになるのか【前編】
「ChatGPT」は“夢の静的解析ツール”になれるのか？　コード診断の新時代
コーディングの世界に生成AIの波が押し寄せている。「ChatGPT」が「SAST」に関する開発プロセスを変える可能性があるという。どの程度実用的なのか。サンプルコードを使いながらChatGPTの実力を探る。（2024/8/8）

製造業の生成AI活用：
PR：生成AIをモノづくり業務にどう取り込むか　ハノーバーメッセ2024に見る具体策
生成AIの活用が広がる中、製造業でもモノづくり業務の中にいかに生成AIを取り込むかに注目が集まっている。日本マイクロソフトは、ハノーバーメッセ2024での最新事例などから生成AIの活用方法などを訴えるセミナー「AIが加速させる インダストリー トランスフォーメーション」を開催した。（2024/7/24）

モジュール式プラットフォーム：
チップレット設計期間をどう短縮するのか　米新興が提案
チップレットへの注目度が高まるにつれて、チップレット設計における課題も出てきた。米国のスタートアップBaya Systemsは、そうした課題に応えるソリューションを明らかにした。（2024/7/23）

Geminiの基本を解説
Googleの生成AI「Gemini」とは　使える機能や用途、「GPT」との違いは？
Googleの大規模言語モデル（LLM）「Gemini」にはどのような機能があり、何に役立つのか。機能や用途、他の生成AIとの違いなど、Geminiの基本を紹介する。（2024/7/19）

生成AIで変わるコーディング【後編】
AIコーディング3大ツール「GitHub Copilot」「IntelliCode」「Amazon Q Developer」の違いは？
AI技術を使用したコーディングツールに、開発現場からの期待が集まっている。GitHub、Microsoft、AWSが提供する代表的なAIコーディングツールの機能を解説する。（2024/7/19）

生成AIで変わるコーディング【前編】
AIコーディングと「コード補完」「ローコード」「静的解析」の違いとは？
コーディング支援ツールはAI技術を活用することで、どのように進化してきたのか。「コード補完」「ローコード」「静的解析」などとの違いを踏まえて解説する。（2024/7/12）

Geminiシリーズ新モデルを徹底解剖【後編】
「Gemini 1.5 Pro」の“マルチな能力”を使いこなす、これだけの方法
GoogleのLLM「Gemini 1.5 Pro」はGemini 1.0から何が進化し、どのような用途に使えるのか。使いこなすための方法を、利用方法や料金プランと併せて解説する。（2024/7/11）

CIプロセスを22分から5分に短縮
数百の開発チームでDevOpsを実現　航空会社があの「CI/CDツール」を選んだ理由
新型コロナウイルス感染症の影響を大きく受けたユナイテッド航空は、旅行需要の変動に柔軟に対処できるよう開発体制を見直した。同社が新しく導入したCI/CDツールとは。（2024/7/5）

IoTセキュリティ：
欧米との比較に見る、日本のソフトウェアサプライチェーンセキュリティの現在地
日本シノプシスは、調査レポート「ソフトウェア・サプライチェーン・セキュリティ・リスクの状況」を基に、日本企業のソフトウェアサプライチェーンセキュリティに対する取り組みや対応状況などについて説明した。（2024/7/4）

PR：ベネッセ、アジャイル開発の舞台裏　教育現場の“激変”にどう対応した？
（2024/5/30）

コンパイル速度が2倍に、マルチプラットフォーム対応も進化：
「Kotlin 2.0」公開　次世代コンパイラ「K2」が安定版に
プログラミング言語「Kotlin」の最新メジャーバージョンとなる「Kotlin 2.0」が公開された。（2024/5/28）

EDRとアンチマルウェアを比較【前編】
いまさら聞けない「EDR」と「アンチマルウェア」の違いとは？
企業のエンドポイントを保護する上で役立つのが、EDRとアンチマルウェアだ。両者にはどのような違いがあるのか。仕組みと役割の観点から両者の違いを解説する。（2024/5/27）

セキュリティニュースアラート：
Splunkがセキュリティ業務に与える生成AIの影響を調査　実際どう役立てられるのか？
Splunk Services JapanとEnterprise Strategy Groupが実施した調査によると、93％のセキュリティリーダーが生成AIを活用しているが、34％は生成AIのポリシーを未策定であり、65％がその影響を理解していないことが明らかになった。（2024/5/17）

OCIのLLMを利用、Java、SQLおよびアプリケーション開発向けに最適化：
Oracle、社内用AIコーディングコンパニオン「Oracle Code Assist」を社外にも提供する計画を発表
Oracleは、社内で使用しているAIコーディングコンパニオン「Oracle Code Assist」を社外にも提供する計画を発表した。（2024/5/14）

「＠IT 開発変革セミナー 2024 Winter」基調講演レポート：
DevOps視点で考える「ソフトウェア品質マネジメント」
「新しい開発手法やツールを導入したが、期待したほど効果が上がっていない。むしろ生産性が低下した気がする……」。そんな課題を抱える企業に不足している視点とは何か。第一線で活躍するアジャイルコーチがDevOpsの視点でソフトウェア品質について語った。（2024/5/17）

自然言語で生成AIアプリを作成できる新機能も発表：
AWS、ビジネスとソフトウェア開発を支援する生成AIアシスタント「Amazon Q」の一般提供を開始
AWSは、ビジネス全般とソフトウェア開発を支援するように設計され、業務に合わせてカスタマイズできる生成AIアシスタント「Amazon Q」の一般提供を開始した。（2024/5/7）

メモリリークを検出、対処する「RESIN」を解説：
Microsoftは、Microsoft Azureの本番環境で起きるメモリリークの問題にどう対処しているのか
Microsoftは、Microsoft Azureを提供する上でサービス品質に影響を及ぼすメモリリークの問題にどう対処しているのか。本番環境で稼働しているメモリリーク検出サービス「RESIN」の取り組みを解説した。（2024/5/1）

ESEC：
Qtが静的解析とアーキテクチャ解析をスイートで提供、ソフトウェアテストを強化
Qt Groupは、「第27回 組込み/エッジ コンピューティング展（ESEC）【春】」において、静的解析／アーキテクチャ検証ツール「Axivion Suite」を紹介した。（2024/5/1）

AI基礎解説：
セーフティクリティカルなAIシステム開発に求められる「V&Vプロセス」とは
世界各国でAI関連規制の整備が進む中で、AIシステムの開発に求められるのが「検証（Verification）」と「妥当性確認（Validation）」から成る「V&Vプロセス」である。特に、自動車や航空宇宙の分野を中心に高い安全性や高い信頼性が重視されるセーフティクリティカルなシステムにAIを導入する際に重要な役割を果たすとみられている。（2024/4/25）

Nuitkaを利用し高速化、難読化：
Wasmerが「py2wasm」を発表、PythonからWebAssemblyに変換　インタープリタより3倍高速実行可能に
WebAssembly（Wasm）ランタイムを開発するWasmerは、PythonプログラムをWebAssemblyに変換し、ベースラインインタープリタよりも3倍高速に実行できるようにする「py2wasm」を発表した。（2024/4/24）

コードに紛れ込んだ「糸くず」を取り除こう：
コードの品質を上げる、地味だけど重要な「コードリンティング」を解説
TechTargetは、「コードリンティング」に関する記事を公開した。コードリンティングはデバッグプロセスにおける重要な準備手順の一つだ。シンプルなミスを早い段階で解決すれば、少ない負担でコーディングの品質を向上させられるだろう。（2024/4/5）

「開発前」も「リリース後」も網羅
有識者が解説　今から始める「DevSecOps」「シフトレフト」の進め方
サイバー攻撃への対策は自社だけで完結しない時代だ。ソフトウェアサプライチェーンの安全性を高めるために有効な「DevSecOps」や「シフトレフト」を実現するには具体的にどう進めればいいのか。DevOpsのセミナーからその答えを探る。（2024/4/4）

富士通とAWSがレガシーシステムのモダナイズに向け連携を強化　どの領域から着手する？
富士通とAWSは、レガシーシステムのモダナイゼーションの加速に向けてグローバルパートナーシップの拡大に合意したと発表した。両社の考えるレガシーシステムの定義と、モダナイゼーションの具体的な取り組みが分かる。（2024/3/19）

「PowerShell」オンラインコース10選【第3回】
1時間ちょっとで「PowerShell」スキルが身に付く"あの学習コース"とは？
「PowerShell」を学ぶ場として、さまざまなオンライン学習コースがある。コースを選ぶ際は、提供会社を見ることが一つの判断材料になる。ビジネスパーソンにおなじみのLinkedInが提供するコースとは。（2024/3/16）

ロングコンテキストウィンドウの持つ強み：
GoogleのLLM「Gemini 1.5 Pro」は最大100万トークンのロングコンテキストウィンドウに対応　どう役立つのか？
GoogleがリリースしたGemini 1.5の強みの一つに、ロングコンテキストウィンドウがある。Googleが実装したロングコンテキストウィンドウとは何か、そしてこの機能が開発者にどのように役立つのか。（2024/3/14）

セキュリティソリューション：
脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供
日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。（2024/2/8）

ソースコードがなくても脆弱性を検出可能：
「バイナリコードの静的解析」によって検査効率を40％向上させる技術をNECが開発
NECはソフトウェアに潜む脆弱性を、実行ファイルのバイナリコードから検出する技術を開発した。外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、脆弱性や不正機能などを検出する。（2024/2/8）

Visual Studio拡張機能版と.NET CLIツール版を提供：
Microsoftが.NET用Azure移行支援ツール「AppCAT」をリリース　移行の潜在的な問題を特定
Microsoftはオンプレミスの.NETアプリケーションからAzureへの移行を支援する新しいツールをリリースした。（2024/1/24）

米国特許商標庁から学ぶデジタル変革【後編】
数カ月を要した脆弱性対策をたった1日で――「遅い」を払拭した政府機関の改革
政府機関は腰が重い――。そのイメージを、米国特許商標庁（USPTO）はデジタル変革を通じて払拭した。具体的に何を変えたのか。組織面から成功のポイントを考える。（2024/1/19）

さまざまな機能改善や性能向上を実現：
「Ruby 3.3.0」公開、新たなパーサーやJITコンパイラを導入
オープンソースプログラミング言語「Ruby」の最新リリースとなる「Ruby 3.3.0」が公開された。（2023/12/28）

運用担当者だけでなく開発者も貢献するには：
地球環境に配慮する「グリーンコーディング」とは？　6つのベストプラクティスと始め方
TechTagetは「地球環境に配慮するコーディング」に関する記事を公開した。ソフトウェア開発者は、地球環境に配慮するさまざまなコーディング手法を使うことで、サステナビリティ（持続可能性）の取り組みをサポートすることができるという。（2023/12/19）

組み込み開発ニュース：
マスワークスがテスト／解析機能を拡充、故障注入の前倒しと動的テストが可能に
マスワークスのモデルベース開発環境「MATLAB／Simulink」は半年に1回のアップデートを行うことで知られている。2023年9月発表の「R2023b」ではテスト／解析関連の機能を大幅に拡充した。（2023/12/12）