Service

静的コード解析ツール「Coverity」

Coverityは、米国のBlack Duck Software, Inc.(以下、Black Duck社)が提供する静的解析ツールです。
ソースコードを解析し、不具合やセキュリティ上の脆弱性を開発初期の段階で検出することで、セキュリティを考慮したソフトウェア品質の向上を支援します。
近年、ソフトウェアの高機能化・複雑化やサイバー攻撃の高度化により、開発の早い段階からセキュリティを含む品質を確保する「シフトレフト※1」が重要視されています。
Coverityはこの考え方に基づき、開発効率を維持しながら高品質なソフトウェア開発を実現します。

※1 ソフトウェア開発において、従来はテスト工程など後工程で実施していた品質・セキュリティ対策を、設計やコーディングといった上流工程に前倒しして実施する考え方。

こんなお悩みはありませんか

  • ソフトウェアの複雑化により、不具合や脆弱性の見落としが増えている
  • テスト工程で不具合が発覚し、手戻りや修正コストが増大している
  • セキュリティ対策を実施したいが、開発工程のどこで対応すべきか分からない
  • 品質と開発スピードの両立が難しい
Coverityは、こうした最新の開発現場のニーズに対応し、
開発初期の段階で不具合や脆弱性を検出することで、
セキュリティを考慮した品質向上をサポートします。

Coverityの導入メリット

当社では、Coverityの提供だけでなく、導入前相談から導入支援、運用支援まで一貫したサポートを提供しています。

実際にCoverityを利用しているエンジニアが、これまで蓄積してきたナレッジやノウハウをベースに、お客様の課題や開発環境に応じた支援を行います。

1. セキュリティリスクを低減し、ソフトウェア品質向上を実現

開発初期の段階で不具合や脆弱性を検出することで、セキュリティリスクを低減し、ソフトウェア品質の向上を実現します。
多様な観点での解析により、見落としのリスクを低減します。

2. 手戻り削減による修正コストの低減

シフトレフトの考え方に基づき、コーディング段階で問題を検出・修正することで、後工程での手戻りを削減します。
これにより、修正コストの低減と開発効率の向上につながります。

3. 開発プロセス全体の効率化

CI/CDやIDEと連携することで、開発プロセスの中で継続的に解析を実施できます。
開発者はその場で不具合や脆弱性を把握し対応できるため、効率的な開発が可能になります。

4. 不具合の可視化と継続的な品質改善

CIDによる不具合管理により、検出された不具合や脆弱性の追跡や対応状況の把握が容易になります。
継続的な解析と組み合わせることで、長期的な品質改善を支援します。

5. ワンストップでの支援

Coverity導入だけでなく、ソースコード静的解析の代行サービスやセキュリティテストを含めた総合的な支援が可能です。

Coverityの特長

  • POINT1 高精度な解析で不具合を網羅的に検出
    全パス・プロシージャ間解析により、関数やファイルを横断してコード全体を解析します。
    複雑な処理の流れも考慮しながら、不具合や脆弱性を網羅的かつ高精度に検出します。
  • POINT2 誤検知が少なく、効率的な対応が可能
    独自の解析技術により、誤検知(ノイズ)が少なく、開発者は本当に対応すべき問題に集中できます。
    解析結果の精査にかかる工数を削減し、効率的な品質改善を実現します。
  • POINT3 開発プロセスと連携し、シフトレフトを実現
    CI/CDツールやIDEと連携することで、開発プロセスの中で自動的に解析を実行できます。
    コーディング段階で不具合を検出し、早期修正を可能にします。
  • POINT4 不具合を一元管理し、継続的な品質改善を支援
    検出された不具合にはCID(固有ID)が付与され、修正状況の追跡や管理が容易になります。
    継続的な解析と組み合わせることで、長期的な品質改善を支援します。
  • POINT5 多様な言語・開発環境に対応
    C/C++、Java、Pythonなどの主要言語に対応し、組込み、Web、モバイルなど幅広い開発環境で利用可能です。
    対応言語の詳細についてはこちら

Coverityの利用イメージ

図表:Coverityの利用イメージ

Coverityは、ソースコードの解析から不具合の管理・修正までを一貫して支援します。
解析エンジンである「Coverity Analysis」によりソースコードを解析し、その結果を「Coverity Connect」で確認・管理することで、効率的な品質改善を実現します。
Coverityを既存の開発システムに統合し、ソースコード解析を開発ワークフローに組み込むことが可能です。

Coverityの主な機能

Coverityは、ソースコードに潜む不具合やセキュリティ上の脆弱性を検出し、セキュリティリスクの低減とソフトウェア品質の向上を支援します。
ランタイムエラーやパフォーマンスの問題、セキュリティリスクなど、幅広い観点で解析を行います。

検出可能な不具合の一例

  • ランタイムエラー(NULLポインタ参照、メモリリーク など)
  • セキュリティ脆弱性(SQLインジェクション、XSS など)
  • 並列処理の問題(デッドロック、競合状態 など)

詳細な機能や対応言語については、Black Duck社の公式サイトをご参照ください。

■ Coverity公式サイト
https://www.blackduck.com/ja-jp/static-analysis-tools-sast/coverity.html

■ 対応言語、コンパイラ、フレームワーク一覧
https://documentation.blackduck.com/ja-JP/bundle/coverity-docs/page/deploy-install-guide/topics/supported_languages,_compilers,_and_frameworks_for_coverity_analysis.html

お問い合わせ

Coverityの導入や詳細については、お気軽にお問い合わせください。
お客様の開発環境や課題に応じて、最適なご提案をいたします。

お問い合わせはこちら

価格

Coverityのライセンスは年間サブスクリプションでの提供となります。
価格については開発者数等のご利用規模により変動しますので、お気軽にお問い合わせください。