バグ発見から脆弱性対策・機能安全対応を1ツールでカバー

世の中の色々な物や仕組みがソフトウェアに依存している今、ソフトウェアが世界を動かしていると言っても過言ではありません。そして、ソフトウェアに対する要求は増え続けています。一方、良いソフトウェアを短期間で、かつセキュアに開発することは容易ではありません。ソフトウェアの脆弱性によるリスクは年々大きくなっています。 ハッカーたちはあなたの製品、会社およびブランドに危害を加えるだけでなく、車のブレーキシステムに調節を加えたり、ペースメーカーに異常を起こさせたり、それよりさらに危険なことをして人々の命さえ危険にさらすのです。したがって、ソフトウェア開発者は製品の機能が正しく動作することだけではなく、コードが正しくテストされ、セキュアであることに対して責任を保つ必要があります。

Klocwork は、開発者のデスクトップ上や継続的インテグレーション環境上で、何百種類ものソースコードセキュリティーの脆弱性を自動的に検出します。Klocwork の静的コード解析を利用することにより、開発チーム全体に対して、脆弱性を発見し、修正し、管理するための、一貫したベストプラクティスを提供します。

パス解析+コーディングルールチェックに対応した豊富なチェッカー

Klocwork は標準でC/C++JavaC#に対して数百種類以上のチェッカーを揃えており、バージョンアップごとに進化し続けています。豊富なチェッカーをそれぞれのソフトウェア開発環境やプロセスの細かい特定のニーズに合致させるため、Klocwork ウェブユーザインターフェースや Web API から各 チェッカー または全体のチェッカーグループを有効、無効に設定することが可能です。

Klocwork が検出するプログラミングエラー・脆弱性の例(詳細はC/C++JavaC#

  • バッファー オーバーフロー
  • 検証されていないユーザーの入力
  • インジェクション
  • クロスサイト スクリプティング
  • 情報漏えい
  • 脆弱性のあるコーディング作法
  • 禁止されたAPI
  • メモリーとリソースの漏えい
  • 同時実行制御違反
  • 無限ループ
  • NULLポインタの間接参照
  • 初期化されていないデータの使用
  • リソース管理
  • メモリー配置エラー

様々な業界コーディング 標準をカバー

ほとんどのビジネスにおいて、ソフトウェアのセキュリティ要件や品質・機能安全要件を満たすためには、複数のコーディング 標準を順守する必要があります。Klocwork は 以下の主要なコーディング スタンダードをサポートするチェッカーおよびレポーティング機能を備えており、コーディング標準への遵守状況チェックおよびレポート作成を簡単に行うことが可能です。

  • CWE
  • CERT
  • DISA STIG
  • CWE/SANS Top 25
  • OWASP
  • MISRA

また、KlocworkはISO 26262およびIEC61508のツール認証を取得しています。これにより機能安全規格への順守が求められる開発プロジェクトにおける静的コード解析ツールとしてKlocworkを安心してお使いいただくことが可能です。

独自ルール作成のためのカスタムチェッカー機能

Klocwork は 世界でも最大規模のお客様、例えば防衛、通信、エレクトロニクス、モバイルおよびその他の企業と協業しています。このようなお客様は高い品質基準を満たすため独自のコーディングルールチェックを必要としています。このような要望に対応するため、Klocworkは柔軟で使いやすいカスタムチェッカー作成 APIおよびカスタムチェッカー開発環境を提供しています。これにより、開発者が独自のアプリケーション セキュリティ チェッカーを、素早くそして簡単に作成することが可能です。
 

ローグウェーブが提供する Capability