ソフトウェアのソースコードを多角的に分析し、そこに潜む脆弱性を正確かつ効率的に発見、修正することができるソフトウェアです。
- 多くのプログラム言語に対応。
(C/C++, JAVA, JSP, C#, VB.NET, ASP.NET, Cold Fusion, SQL、 PHP, JavaScript, ASP, COBOL)
- 多くのプラットフォームに対応。
(Windows, Linux, Solaris, HP-UX, AIX, Mac OS X)
- 何百万行のソースコードが解析可能なスケーラビリティ。
- 複数の言語が混在したシステムも一括解析可能。
- 関数の関係やデータの流れなどをロジカルに分析し、解析精度を向上。
1.ソースコード分析の実行
EclipseやVisualStudioなどの統合開発環境(IDE)へのプラグインを利用することにより、IDEに組み込まれたボタンをワンクリックするだけで、ソースコード分析(Analysis Engine)を実行することができます。また、IDE環境を持たないソースコードに対しても、コマンド一つでAnalysis Engineを動作させることが可能です。
2.ソースコード分析の動作
データフローに沿ったロジカル分析を効率的に実施するために、ソースは中間言語に翻訳された後に、まとめて分析されます。このため、種類の違うプログラミング言語のソースファイルをまとめて分析することも可能です。
3.セキュアコーディングルールパックを使用した専門家による徹底的な分析
ソースコード分析には、セキュリティ専門家による、現在も継続的に拡張および更新されている標準ルールが使用されます。カスタム化したルールを分析に組み込むことも可能です。
4.ソースコード分析のフィルタリング
開発環境やルール、ポリシーに合わせて、重点ポイントだけに結果を絞り込むよう分析内容を指定することができます。絞り込みを設定することにより、監査やルール上、チェック対象としない問題を除外し、必要な結果のみを出力することができます。
Fortify SCA はセキュリティ、品質、ガイドラインに関するチェックルールを使い、解析を行います。
| ・SQL Injection |
・Memory Leak |
| ・Cross-Site Scripting |
・Access Control |
| ・Buffer Overflows |
・Null Pointer |
| ・Resource Injection |
・Information Leakage |
| ・Command Injection |
・Poor Coding Style |
など、200種類以上の問題カテゴリーを言語毎に用意しております。
