特集
» 2018年08月10日 08時00分 公開

車載ソフトウェア:大規模化する車載ソフト、パナソニックは品質とセキュリティを確保できるのか (2/2)

[朴尚洙,MONOist]
前のページへ 1|2       

ガイドラインに基づきセキュアコーディングの推奨分類を定義

 コネクテッドカーや自動運転車の登場により、車載ソフトウェアに対するセキュアコーディングも求められるようになっている。車載ソフトウェアのコーディングガイドラインといえばこれまでは品質向上が目的だったが、最近はセキュリティを目的としたガイドラインも登場しているのだ。MISRA Cにも「MISRA C:2012 Amendment1」が追加されており、この他にも「Cert-C」や「CWE」などがある。

 「セキュアコーディングへの対応」では、これらのコーディングガイドラインについて社内の推奨分類を定義した。2016年版のMISRAコンプライアンスに基づき「必須」「必要」「推奨」「非適用」に分けている。

 例えばある事例では、CWEに基づくコーディングチェックを行ったところ、2万5000件の指摘項目を検出した。これらのうち内製コードが1万5000件、OSSが1万件だった。内製コードについては、チェック結果を分析し、推奨、非適用の再分類を決定する予定で、現在実施中である。OSSについては、シノプシスが買収したブラックダックのソリューションを使って脆弱性を検出している。

パナソニックのオートモーティブ事業全体に適用拡大

 古田氏は、今後の取り組みとして「セキュリティプロセスのさらなる改善」「ソフトウェアユニット構築・検証プロセスの改善」「ソースコード静的解析の効果・効率の向上」を挙げた。特に、静的解析については、統合テストだけでなくコンポーネント単位で実施したいとしている。「Coverityのデスクトップ解析機能は、統合テストへの引継ぎなどでまだ課題がある。解析速度もさらなる向上を求めたい」(同氏)。

 ここまで挙げた取り組みは、IVIを手掛けるインフォテインメントシステム事業部のものだが、パナソニックのオートモーティブ事業全体への適用拡大も進めているところだ。古田氏は「大規模〜中規模まで適用できる範囲が広いことがCoverityの特徴だろう」と述べている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.