「ソースコード解析」関連の最新 ニュース・レビュー・解説 記事 まとめ

「ソースコード解析」に関する情報が集まったページです。

独自の取り組みで人材育成と高品質な製品/サービス提供を支援:
PR:そこが知りたい! 「ホワイトハッカーチームの仕事ってどんなこと?」
日立ソリューションズの“全方位的なセキュリティソリューション”を裏側から支援しているのが、腕利きのエンジニアやアナリストが集まるセキュリティプロフェッショナルセンタに所属する「ホワイトハッカーチーム」だ。いったいどのような人たちがどんな仕事をしているのだろうか。(2020/7/8)

「Amazon CodeGuru」が正式版に 機械学習によりコードの問題部分や遅い部分を指摘
「Amazon CodeGuru」が正式版に。機械学習のモデルによるコードレビューを自動的に行い、問題があると思われる部分や性能低下につながっている部分などを指摘してくれるサービス。(2020/7/2)

メモリやCPUの消費量が多いものはどれだ:
「Chrome」拡張機能がブラウズに悪い影響を与える、DebugBearが調査
Webサイト「DebugBear」は、Webブラウザ「Chrome」の拡張機能が、Chrome本体のパフォーマンスに与える影響について調査した。ダウンロード数が上位にある1000本の拡張機能が対象だ。テストの結果、CPU時間を数秒利用するものや、数百MBのメモリを消費するものがあった。これらは快適な閲覧の妨げになる可能性があり、解決するには拡張機能の設計を改善する必要がありそうだ。(2020/6/24)

マルウェアバイナリを画像に変換 転移学習を利用:
MicrosoftとIntel、ディープラーニングでマルウェアを分類する研究成果を発表
Microsoftの脅威保護インテリジェンスチームとIntel Labsの研究者が、ディープラーニングをマルウェア分類に応用する新しい方法を共同で研究し、成果を挙げた。(2020/6/17)

組み込み開発ニュース:
AI機能を拡張したモデルベース開発環境の最新版を発表
MathWorksは、ディープラーニング向けのAI機能を拡張した、モデルベース開発環境「MATLAB/Simulink」の最新バージョン「Release 2020a」を発表した。多くの機能が追加、更新されたほか、自動車や無線通信分野のエンジニアに役立つ新機能が導入されている。(2020/6/2)

Google、「Android Studio 4.0」リリース 約3年ぶりのメジャーアップデートで新機能多数
GoogleがAndroidアプリ向け統合開発環境(IDE)「Android Studio」のバージョン4.0をリリースした。「Motion Editor」や「Layout Inspector」などの新機能が追加された。新機能は6月3日の「Android 11」の一般向けβローンチイベントでも紹介される見込み。(2020/5/30)

Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)

データのフロンティア【後編】:
スタバとMicrosoftが構築したエッジコンピューティングシステム
エッジコンピューティングは既に現実的なソリューションだ。StarbucksとMicrosoftが構築したエッジコンピューティングシステムがその一例だ。(2020/4/1)

バイナリコードによる静的解析が安全な世界を創造:
PR:セキュア開発に一石を投じるVeracodeの強み
セキュリティを意識したセキュア開発は、アプリケーション開発において押さえておくべき重要な考え方の一つだろう。そんなアプリケーション開発において、バイナリコードをクラウド上で静的に解析できるソリューションを提供しているのが、米国マサチューセッツ州に本社を構えるVeracode社(以下、Veracode)だ。欧米でアプリケーションセキュリティをリードする同社が開発したバイナリコード静的解析とは一体どのようなものなのか、その特長について紹介しながら、グローバル市場の動向や日本における戦略などについて、来日した同社CEOのSam King(サム・キング)氏に詳しく伺った。(2020/3/11)

組み込み開発ニュース:
AUTOSAR C++14対応を強化した、C/C++言語対応テストツールの最新版
テクマトリックスは、Parasoftが開発したC言語、C++言語対応テストツールの最新版「C++test 10.4.3」の販売を開始した。車載ソフトウェア向けの「AUTOSAR C++14 Coding Guideline」への対応を大幅に強化している。(2020/2/27)

特集:継続的に儲けるための「セキュリティバイデザイン」入門(2):
コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。(2020/2/19)

数百万行のコードを解析可能:
Microsoft、ソースコード解析ツール「Application Inspector」をOSSとして公開
Microsoftは、オープンソースでクロスプラットフォームのソースコード解析ツール「Microsoft Application Inspector」を公開した。多種多様なプログラミング言語で記述されたコンポーネントを使用した数百万行のコードを解析できる。コードの時間的な変化はもちろん、特に「危険な」部分がどこなのかを特定できる。(2020/1/24)

特集:マイクロサービス入門(5):
新規構築や移行時のリスクを軽減、「ストラングラーパターン」とは?
モノリシックなサービスをマイクロサービス化する際、どのように移行させればいいのか。オイシックス・ラ・大地の川上徹氏がOisixのマイクロサービス移行に当たって採用したアプローチと開発プロセスを紹介します。(2020/1/23)

オートモーティブワールド2020:
ドライバーの運転パターンをAIでモニタリング、QNXとサイランスの技術を融合
ブラックベリー(BlackBerry)は、「オートモーティブワールド2020」(2020年1月15〜17日、東京ビッグサイト)において、グループ傘下のQNXとサイランス(Cylance)の技術を融合したソリューションを披露した。(2020/1/21)

機械学習でコードを分析:
AWS、ソースコードの問題点修正や、稼働中のアプリケーションの性能改善に役立つサービス「Amazon CodeGuru」を発表
Amazon Web Services(AWS)は、コード品質やアプリケーションパフォーマンスで問題が起こる前に改善できるように支援するフルマネージドサービス「Amazon CodeGuru」を発表した。(2019/12/5)

AWS re:Invent 2019:
AWS、「Amazon CodeGuru」発表 機械学習したコンピュータが自動でコードレビュー、問題あるコードや実行の遅い部分を指摘
AWSが、米ラスベガスで年次イベント「AWS re:Invent 2019」を開催中。基調講演で新サービス「Amazon CodeGuru」を発表した。機械学習を用いて自動的にコンピュータがコードレビューを行う。(2019/12/4)

コードを読む時間が一番長いという問題:
C++やPython向けのコード可視化ツール「Sourcetrail」がオープンソースに
Coati Softwareは、クロスプラットフォームのインタラクティブなコード可視化ツール「Sourcetrail」を、無料のオープンソースソフトウェアとして公開した。CやC++、Java、Pythonなどに対応している。コードを読むことにほとんどの時間を費やす開発者に役立つツールだ。(2019/11/21)

車載ソフトウェア:
PR:要件が厳しく複雑な車載ソフトウェア開発、コストをどう低減するか
車載ソフトウェア開発は、安全性の担保やメンテナンス性確保のためのコーディング規約順守などさまざまな要件が課される。最近は自動運転システムの開発やOSS(オープンソースソフトウェア)の活用増加など、単にソース単体レベルでの対応を超えたところで配慮すべき内容が増えてきた。こうした状況に対応してテクマトリックスが新しく提案しているのが、車載ソフトウェア開発向けのツールチェーンともいえるソリューションである。(2019/11/26)

製造ITニュース:
ソフトウェアバグに対する修正案をAIが提案、富士通らが実証実験
富士通、三井住友フィナンシャルグループ、日本総合研究所は、AIを活用してソフトウェアの修正案を開発者に自動推奨する技術の実証実験を実施した。潜在バグを開発者が手作業で修正する場合と比べて、修正時間を最大約30%削減できる。(2019/11/11)

NICTが開発している無線通信用のテスト環境とは:
IoT、ロボット、スマートデバイス、VR――どんどん複雑化するソフトウェアテスト、20年後はどうなる?
2019年8月29〜31日に開催された「builderscon tokyo 2019」のセッション「20年後のソフトウェアテストの話をしよう」で、情報通信研究機構の湯村翼氏がセンサーデータや物理的な情報を取り込むためのさまざまなテスト技術を説明した。(2019/10/29)

GitHub、GoogleやNASAも使うコード分析ツール提供のセキュリティ企業Semmleを買収
Microsoft傘下のGitHubが、コード分析ツールを提供するセキュリティ企業Semmleを買収した。この買収はGoogleやNASAなどの個客には影響せず、引き続きツールをオープンソースで提供していく見込み。GitHubは同日CVEナンバリング機関として承認されたことも発表した。(2019/9/19)

夏休みの学生らが体験、RSAの実践的なインシデント対応演習:
データ不正利用、サイバー攻撃が世界的なリスクTop5の今、人材育成の在り方は
2019年8月8日、9日にかけて大阪でRSAが「サイバーインシデント シミュレーション チャレンジ」を開催。奈良先端科学技術大学院大学(NAIST)でセキュリティ関連の研究に取り組む学生10人が「セキュリティに関する知識やスキルを身に付けたい」と参加した。(2019/9/6)

セキュリティに「必勝法」はない!:
PR:システムを堅牢化するのは何のため? エンジニアがHardeningから持ち帰れる「学び」とは
脆弱(ぜいじゃく)なECサイトを攻撃から守る体験を通して、システムを堅牢(けんろう)化し、“セキュリティをビジネスに活かす”という本質を理解する「Hardening(ハードニング)」が注目を集めている。Hardeningの妙味とは何か、そこからはどのような「学び」「気付き」が得られるのだろうか。(2019/7/31)

大原雄介のエレ・組み込みプレイバック:
ファーウェイ、生き残るための“次善の策”
エレクトロニクス/組み込み業界の動向をウオッチする連載。今回は、2019年5月の業界動向の振り返りとして、2018年末から話題となっているファーウェイを巡る話を紹介する。(2019/6/28)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

セキュリティが目指す高度な自動化の方向が見えた
今回は、2019年5月8〜10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが目立った。(2019/5/29)

大原雄介のエレ・組み込みプレイバック:
Microsoftに買収されたExpress Logicとは
エレクトロニクス/組み込み業界の動向をウオッチする連載。今回は、2019年4月の業界動向の振り返りとして、Microsoftに買収されたExpress Logicの話を紹介する。(2019/5/23)

AIは開発とテストをどう変えるのか:
2022年、開発プロジェクトの4割がAIをチームメンバーに加え、AIを活用したテスト自動化ツールを使う――Gartner
「AIは開発者のコード生成をどう変えるのか」「AIベースのツールは開発チームのテストをどう変えるのか」。Gartner バイスプレジデント アナリストのマーク・ドライバー氏が行った講演の内容をダイジェストでお届けする。(2019/4/25)

組み込み開発ニュース:
CERT Cに完全対応、セキュアなC/C++コーディングを支援するテストツール
テクマトリックスは、Parasoft Corporationが開発したC言語/C++言語対応テストツール「C++test 10.4.1」を発売した。C言語向けセキュアコーディングのガイドライン「CERT Cコーディングスタンダード」のルールに完全対応している。(2019/4/1)

セキュリティ・バイ・デザインで何が変わるか:
PR:なぜこれまでのセキュリティ対策は、労多くして実らなかったのか
2019年3月12日にNECが開催した「次の時代に必要なサイバーセキュリティ〜キーマンが語るデジタル社会への対応〜」では、企画・設計段階からセキュリティを埋め込んでいく「セキュリティ・バイ・デザイン」の在り方とその先の方向性を業界のリーダーが語った。(2019/3/29)

組み込み開発ニュース:
MATLAB/Simulinkがシステムズエンジニアリングに対応、「R2019a」をリリース
MathWorks Japanはモデルベース開発環境「MATLAB/Simulink」の最新バージョン「R2019a」を発表。強化学習への対応や、アナログICやSoCの設計を容易にする新製品、車載ソフトウェア標準のAUTOSARやより複雑なシステムの開発に求められるシステムズエンジニアリングに対応する機能追加などが特徴となっている。(2019/3/28)

山浦恒央の“くみこみ”な話(116):
バグ検出ドリル(16)音楽プレーヤーに潜むバグを見つけ出せ
バグは至るところに、しかも堂々と潜んでおり、自信満々なプログラマーほど、目の前のバグに気付かないものです。「バグ検出ドリル」の第16回の問題は「簡単なバグなのに、なかなか見つからない」バグです。何で見つからないんだ!(2019/3/25)

@ITソフトウェア品質向上セミナー:
ツールを通じてDevOpsにセキュリティを統合する手助けを――日本シノプシス
@ITは2018年12月14日、「@IT ソフトウェア品質向上セミナー」を開催した。本稿では日本シノプシスの講演「DevOpsにおける品質とセキュリティテスト〜Built-in Security into DevOps ToolChain」の模様をお届けする。(2019/3/13)

安全性の保証も否定もできず:
“Huawei外し”で揺れる欧州の通信業界
既に設置されているHuaweiの通信機器を取り外すのは困難を伴う。同社の製品を最初から避けることはもちろん、取り外す必要があるのかは不明だ。では、通信事業者は何をすべきなのだろうか。(2019/3/11)

いまさら聞けないクルマのあの話(5):
自動車のセキュリティって何をすればいいんですか?
自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。日本シノプシス ソフトウェアインテグリティグループ シニアソリューションアーキテクトの岡デニス健五氏に話を聞いた。(2019/2/27)

PARTNER-Jet2/LIQUID/SOLIDなど:
京都マイクロコンピュータの開発環境がルネサス「RZ/G2」を全面サポート
京都マイクロコンピュータは、同社の開発環境がルネサス エレクトロニクスの新製品である64ビットMPU「RZ/G2」をトータルサポートすることを発表した。(2019/2/27)

「不正ユーザーの95%が利用する手法」を解説:
「未対策なら1分でできる」 スマホアプリの改ざんを防ぐには?
スマートフォン向けアプリケーションを開発する際にもセキュリティ対策は欠かせない。DeNAの舟久保氏は内製ツールと自作アプリを利用して模擬的に改ざん行為を行い、アプリ開発時にどういった対策が有効になるかを解説した。(2019/2/27)

組み込みソフトウェアテスト:
PR:MISRAもCERTもAUTOSARも、コーディング規約はどうすれば順守できるのか
テクマトリックスが販売する「C++test」は、車載機器や産業機器、医療機器などの組み込みソフトウェア開発で広く利用されている、C言語/C++言語向けのテストツールだ。2019年3月にリリースされたC++testの最新バージョンである10.4.1は、どういった機能拡充が行われているのだろうか。(2019/3/14)

ITmediaエンタープライズセキュリティセミナー:
ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント
サイバー犯罪事件のニュースからOPSEC(運用上のセキュリティ)のヒントを得るにはどうすればいいのか。Planetway Japanの竹田氏が「ダークウェブ」の実態や、現在はテイクダウンされたダークウェブサイト「Silk Road」の捕り物劇を紹介しながら、OPSECのポイントを考察した。(2019/1/30)

@ITソフトウェア品質向上セミナー2018:
及川卓也×山田誠二対談「機械が人に合わせる」時代から「人が機械に合わせる」時代へ――エンジニアのシンギュラリティーを考える
システム開発現場の在り方はAIや機械学習によってどのように変わるのか――@ITソフトウェア品質向上セミナーの特別講演「AI/機械学習、自動化で開発現場にも訪れるシンギュラリティーにどう備えるか」で、フリーランス エンジニアリング・プロダクトアドバイザーの及川卓也氏と、長年AIの研究に携わる国立情報学研究所教授の山田誠二氏が対談した。(2019/1/28)

ITmedia エンタープライズ セキュリティセミナーレポート:
文化もITリテラシーも異なる拠点でセキュリティ教育を徹底させるには “重要インフラ”を守る中部電力の取り組み
「電力」という“生活に欠かせない重要インフラ”をサイバー攻撃から守り、安定的に運用するためには、全ての社員が常に高いセキュリティ意識を持っていることが重要になる。その知識レベルを一定に保ち続けるために中部電力のセキュリティ部門が行っている工夫の数々とは。(2019/1/18)

AI技術を取り入れた脅威対策
EMMのセキュリティを高める「モバイル脅威防御」(MTD) 主要製品や機能を紹介
「モバイル脅威防御」(MTD)はモバイルデバイス管理で一歩先を行くための手法だ。今後導入が広がると予想されるMTD製品とEMM製品を連携させたセキュリティ対策について解説する。(2018/12/26)

OpenAMコンソーシアムがソースコード公開に至った狙いとは:
PR:オープンソースソフトウェアのシングルサインオン製品が求められる理由
多くの企業が複数の業務システムやアプリケーションを利用してビジネス活動を進めているため、IDとパスワードが増加している。またテレワークをはじめとした業務改革の推進により、クラウドサービスやモバイル利用者の利便性を損なうことなく自社のセキュリティポリシーを適応する仕組みが求められている。こうした課題を解決するのがシングルサインオン製品だ。中でも、オープンソースソフトウェアの「OpenAM」に改めて注目が集まっている。(2018/11/5)

JavaやAcrobat Readerに脆弱性が潜む可能性も
スマートフォン全滅を引き起こすモバイル管理システムへの攻撃 EMMをどう守るか
EMMプラットフォームが絶対に安全だと考えているIT部門は多いが、必ずしもそうだとは限らない。EMMのセキュリティをあらゆる角度から万全にし、最新の脅威に備えるには。(2018/10/19)

@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)

セキュリティ・アディッショナルタイム(27):
DevOpsの邪魔にならないセキュリティをどう実現するか――CI/CDに統合可能な「IAST」とは
デジタルトランスフォーメーションの加速と同時に、セキュリティ品質に対するユーザーの目の厳しさが増す中、DevOpsのプロセスにいかにセキュリティを取り組むかは大きな課題だ。このような中、「IAST(Interactive Application Security Testing)」というカテゴリーのツールに注目が集まっている。(2018/10/4)

「優れたセキュリティ人材はめったに見つからない」は間違い:
PR:「人がいない」「予算がない」でやりたくてもやれない脆弱性検査を実施するための現実的な施策とは
脆弱性の存在を把握し、対処することが重要だとは分かっていても、肝心の脆弱性検査を実施できる人がいない――そんな状況につけ込むサイバー攻撃が増えている。脆弱性検査を行えるスキルを持った人材を育て、根本的に問題を解決するため、CompTIAでは新たな資格を設けた。(2018/9/26)

セキュリティ・アディッショナルタイム(26):
さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」に合わせて来日したガートナーのリサーチ・ディレクター、マーク・ホーヴァス氏に、安全なアプリケーション開発を実現するコツを尋ねた。(2018/9/19)

セキュリティ・アディッショナルタイム(24):
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。(2018/9/7)

CEDEC 2018:
ソシャゲのチートにも「海賊版サイト」 知識なくても使える不正アプリ横行
ゲーム会社が頭を抱える、一部ユーザーによるゲーム内不正行為(チート)。最近は知識がなくても不正アプリや改造ツールが入手できる海賊版サイトなどの存在もあり、企業側も対応に追われている。(2018/8/27)



にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。