シノプシス、Coverityの機能強化ならびに Coverityと連動したセキュリティ・トレーニング・プラットフォームにより セキュアなアプリケーション・ソフトウェア開発を支援

2018年6月12日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、より短期間でのセキュアなアプリケーション・ソフトウェア開発を可能にするため、静的コード解析ツール　Coverity^®に搭載した新機能について発表した。Coverityは、Gartner社やForrester社から業界をリードする静的アプリケーション・セキュリティ・テスティング（SAST）ツールとして評価されているが、今回の最新バージョン 2018.06では、ソフトウェア開発者向けのオンデマンド型セキュリティ・トレーニング・プログラムとしてシノプシスが完全に再構築したeLearningプラットフォームとシームレスに連動する機能が搭載された。ソフトウェア開発者は、（開発中のコードに弱点や脆弱性が見つかった場合は）Coverityの画面から関連する簡潔なトレーニング・モジュールに直接アクセスすることができる。これにより、Coverityが発見したコード上のセキュリティ問題への対処が容易になる。またこの最新バージョンでは、多岐に渡るプログラミング言語やフレームワークに潜む脆弱性の特定能力を高めるためのセキュリティ解析機能が強化されている。広く知られているスペクター（Spectre）攻撃に対する脆弱性を含むコード・パターンを検出する機能もその一つである。

シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー　Andreas Kuehlmannは、次のように述べている。「より多くの企業/団体が迅速かつインタラクティブな開発手法を採用するようになっており、それに伴い開発工程の早期段階でセキュリティ対策を施すことがますます重要になってきています。そのためには、担当するコード上のセキュリティ問題に対して開発者が当事者意識を持って取り組むのに必要となるツールやトレーニングを用意する必要があります。早い段階で脆弱性を特定/修正すること、そしてそもそも開発者が判断ミスをおこさないよう教育することによって、セキュアなコード開発が可能となるのであり、それによってコスト増加要因となるやり直しや想定外のプロジェクト遅延を回避することができるのです」

新しいeLearningプラットフォームとCoverityの連携

シノプシスのeLearningは、学習者の視点に立った成果重視のトレーニング・プログラムであり、判りやすく利用し易い、かつ現実の問題に直結したアプリケーション・セキュリティ学習の機会を提供している。開発者は、実体験に近く途切れの無い学習環境をオンデマンドで利用でき、直感的なプラットフォーム上で、セキュリティ専門知識が盛り込まれ教育設計の工夫が施されたストーリー性のあるトレーニングを受けることができる。

• CoverityとeLearningがシームレスに連携しているため、ソフトウェア開発者は、開発中のコード上にCoverityがCWE（Common Weakness Enumeration）で定義されている脆弱性を検出した場合、それに応じたセキュリティ・レッスンにアクセスできる。

• この連携機能は、独自の脆弱性解析ツールによって実現されており、検出されたCWE定義の脆弱性に対し、関連するeLearningコースを最高水準の信頼性をもつアルゴリズミックな評価手法で紐付けする。既存のトレーニング・ツールとは異なり、eLearningトレーニング・コースの中の特定のレッスンにリンクされるため、開発者は最も関連性の高い情報に到達することができる。

• eLearningは、非常に幅広いアプリケーション・セキュリティ・トピックをカバーした37のコースからなっている。リスク分析、認証システム、セキュリティ標準規格、Web/モバイル・アプリケーションの防御プログラミング、（考えられる攻撃やその発生確率/影響を検討する）脅威モデリング、セキュリティ・テスト戦略、その他多岐に渡っている。

シノプシス eLearningの詳細は下記の通り。
https://www.synopsys.com/software-integrity/training/elearning.html

Coverity 2018.06の機能向上

Coverity最新バージョンでは、多岐に渡るプログラミング言語やフレームワークでの脆弱性の特定能力を高めるためにセキュリティ解析機能が強化されており、これまでのバージョンに引き続きセキュリティ/セーフティー/信頼性に関する最新のコーディング規格サポートも追加されている。

• スペクター攻撃への対策

Coverity最新バージョンは、スペクター攻撃に対する脆弱性が疑われるソースコードを検出する特殊なセキュリティ・チェッカーを搭載した業界初のSASTソリューションの一つである。

• コーディング規格サポートの追加

Coverityを活用することで、ビジネスに重大な関わりを持つ業界標準規格に準拠したアプリケーションを短期間で開発可能になる。サポートする規格は、OWASP Top 10 2017、CERT C++、MISRA C：2012 Technical Corrigendum 1（TC1）、DISA STIGである。

• セキュリティ解析機能の強化

Python、Java、Swiftベースのアプリケーションに追加された脆弱性を検出可能。

静的コード解析ツール　Coverityの詳細は下記の通り。
https://www.synopsys.com/ja-jp/software-integrity/security-testing/static-analysis-sast.html

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOpsプロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.html より入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。