「ソースコード解析」関連の最新 ニュース・レビュー・解説 記事 まとめ

「ソースコード解析」に関する情報が集まったページです。

GitHub、GoogleやNASAも使うコード分析ツール提供のセキュリティ企業Semmleを買収
Microsoft傘下のGitHubが、コード分析ツールを提供するセキュリティ企業Semmleを買収した。この買収はGoogleやNASAなどの個客には影響せず、引き続きツールをオープンソースで提供していく見込み。GitHubは同日CVEナンバリング機関として承認されたことも発表した。(2019/9/19)

夏休みの学生らが体験、RSAの実践的なインシデント対応演習:
データ不正利用、サイバー攻撃が世界的なリスクTop5の今、人材育成の在り方は
2019年8月8日、9日にかけて大阪でRSAが「サイバーインシデント シミュレーション チャレンジ」を開催。奈良先端科学技術大学院大学(NAIST)でセキュリティ関連の研究に取り組む学生10人が「セキュリティに関する知識やスキルを身に付けたい」と参加した。(2019/9/6)

セキュリティに「必勝法」はない!:
PR:システムを堅牢化するのは何のため? エンジニアがHardeningから持ち帰れる「学び」とは
脆弱(ぜいじゃく)なECサイトを攻撃から守る体験を通して、システムを堅牢(けんろう)化し、“セキュリティをビジネスに活かす”という本質を理解する「Hardening(ハードニング)」が注目を集めている。Hardeningの妙味とは何か、そこからはどのような「学び」「気付き」が得られるのだろうか。(2019/7/31)

大原雄介のエレ・組み込みプレイバック:
ファーウェイ、生き残るための“次善の策”
エレクトロニクス/組み込み業界の動向をウオッチする連載。今回は、2019年5月の業界動向の振り返りとして、2018年末から話題となっているファーウェイを巡る話を紹介する。(2019/6/28)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

セキュリティが目指す高度な自動化の方向が見えた
今回は、2019年5月8〜10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが目立った。(2019/5/29)

大原雄介のエレ・組み込みプレイバック:
Microsoftに買収されたExpress Logicとは
エレクトロニクス/組み込み業界の動向をウオッチする連載。今回は、2019年4月の業界動向の振り返りとして、Microsoftに買収されたExpress Logicの話を紹介する。(2019/5/23)

AIは開発とテストをどう変えるのか:
2022年、開発プロジェクトの4割がAIをチームメンバーに加え、AIを活用したテスト自動化ツールを使う――Gartner
「AIは開発者のコード生成をどう変えるのか」「AIベースのツールは開発チームのテストをどう変えるのか」。Gartner バイスプレジデント アナリストのマーク・ドライバー氏が行った講演の内容をダイジェストでお届けする。(2019/4/25)

組み込み開発ニュース:
CERT Cに完全対応、セキュアなC/C++コーディングを支援するテストツール
テクマトリックスは、Parasoft Corporationが開発したC言語/C++言語対応テストツール「C++test 10.4.1」を発売した。C言語向けセキュアコーディングのガイドライン「CERT Cコーディングスタンダード」のルールに完全対応している。(2019/4/1)

セキュリティ・バイ・デザインで何が変わるか:
PR:なぜこれまでのセキュリティ対策は、労多くして実らなかったのか
2019年3月12日にNECが開催した「次の時代に必要なサイバーセキュリティ〜キーマンが語るデジタル社会への対応〜」では、企画・設計段階からセキュリティを埋め込んでいく「セキュリティ・バイ・デザイン」の在り方とその先の方向性を業界のリーダーが語った。(2019/3/29)

組み込み開発ニュース:
MATLAB/Simulinkがシステムズエンジニアリングに対応、「R2019a」をリリース
MathWorks Japanはモデルベース開発環境「MATLAB/Simulink」の最新バージョン「R2019a」を発表。強化学習への対応や、アナログICやSoCの設計を容易にする新製品、車載ソフトウェア標準のAUTOSARやより複雑なシステムの開発に求められるシステムズエンジニアリングに対応する機能追加などが特徴となっている。(2019/3/28)

山浦恒央の“くみこみ”な話(116):
バグ検出ドリル(16)音楽プレーヤーに潜むバグを見つけ出せ
バグは至るところに、しかも堂々と潜んでおり、自信満々なプログラマーほど、目の前のバグに気付かないものです。「バグ検出ドリル」の第16回の問題は「簡単なバグなのに、なかなか見つからない」バグです。何で見つからないんだ!(2019/3/25)

@ITソフトウェア品質向上セミナー:
ツールを通じてDevOpsにセキュリティを統合する手助けを――日本シノプシス
@ITは2018年12月14日、「@IT ソフトウェア品質向上セミナー」を開催した。本稿では日本シノプシスの講演「DevOpsにおける品質とセキュリティテスト〜Built-in Security into DevOps ToolChain」の模様をお届けする。(2019/3/13)

安全性の保証も否定もできず:
“Huawei外し”で揺れる欧州の通信業界
既に設置されているHuaweiの通信機器を取り外すのは困難を伴う。同社の製品を最初から避けることはもちろん、取り外す必要があるのかは不明だ。では、通信事業者は何をすべきなのだろうか。(2019/3/11)

いまさら聞けないクルマのあの話(5):
自動車のセキュリティって何をすればいいんですか?
自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。日本シノプシス ソフトウェアインテグリティグループ シニアソリューションアーキテクトの岡デニス健五氏に話を聞いた。(2019/2/27)

PARTNER-Jet2/LIQUID/SOLIDなど:
京都マイクロコンピュータの開発環境がルネサス「RZ/G2」を全面サポート
京都マイクロコンピュータは、同社の開発環境がルネサス エレクトロニクスの新製品である64ビットMPU「RZ/G2」をトータルサポートすることを発表した。(2019/2/27)

「不正ユーザーの95%が利用する手法」を解説:
「未対策なら1分でできる」 スマホアプリの改ざんを防ぐには?
スマートフォン向けアプリケーションを開発する際にもセキュリティ対策は欠かせない。DeNAの舟久保氏は内製ツールと自作アプリを利用して模擬的に改ざん行為を行い、アプリ開発時にどういった対策が有効になるかを解説した。(2019/2/27)

組み込みソフトウェアテスト:
PR:MISRAもCERTもAUTOSARも、コーディング規約はどうすれば順守できるのか
テクマトリックスが販売する「C++test」は、車載機器や産業機器、医療機器などの組み込みソフトウェア開発で広く利用されている、C言語/C++言語向けのテストツールだ。2019年3月にリリースされたC++testの最新バージョンである10.4.1は、どういった機能拡充が行われているのだろうか。(2019/3/14)

ITmediaエンタープライズセキュリティセミナー:
ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント
サイバー犯罪事件のニュースからOPSEC(運用上のセキュリティ)のヒントを得るにはどうすればいいのか。Planetway Japanの竹田氏が「ダークウェブ」の実態や、現在はテイクダウンされたダークウェブサイト「Silk Road」の捕り物劇を紹介しながら、OPSECのポイントを考察した。(2019/1/30)

@ITソフトウェア品質向上セミナー2018:
及川卓也×山田誠二対談「機械が人に合わせる」時代から「人が機械に合わせる」時代へ――エンジニアのシンギュラリティーを考える
システム開発現場の在り方はAIや機械学習によってどのように変わるのか――@ITソフトウェア品質向上セミナーの特別講演「AI/機械学習、自動化で開発現場にも訪れるシンギュラリティーにどう備えるか」で、フリーランス エンジニアリング・プロダクトアドバイザーの及川卓也氏と、長年AIの研究に携わる国立情報学研究所教授の山田誠二氏が対談した。(2019/1/28)

ITmedia エンタープライズ セキュリティセミナーレポート:
文化もITリテラシーも異なる拠点でセキュリティ教育を徹底させるには “重要インフラ”を守る中部電力の取り組み
「電力」という“生活に欠かせない重要インフラ”をサイバー攻撃から守り、安定的に運用するためには、全ての社員が常に高いセキュリティ意識を持っていることが重要になる。その知識レベルを一定に保ち続けるために中部電力のセキュリティ部門が行っている工夫の数々とは。(2019/1/18)

AI技術を取り入れた脅威対策
EMMのセキュリティを高める「モバイル脅威防御」(MTD) 主要製品や機能を紹介
「モバイル脅威防御」(MTD)はモバイルデバイス管理で一歩先を行くための手法だ。今後導入が広がると予想されるMTD製品とEMM製品を連携させたセキュリティ対策について解説する。(2018/12/26)

OpenAMコンソーシアムがソースコード公開に至った狙いとは:
PR:オープンソースソフトウェアのシングルサインオン製品が求められる理由
多くの企業が複数の業務システムやアプリケーションを利用してビジネス活動を進めているため、IDとパスワードが増加している。またテレワークをはじめとした業務改革の推進により、クラウドサービスやモバイル利用者の利便性を損なうことなく自社のセキュリティポリシーを適応する仕組みが求められている。こうした課題を解決するのがシングルサインオン製品だ。中でも、オープンソースソフトウェアの「OpenAM」に改めて注目が集まっている。(2018/11/5)

JavaやAcrobat Readerに脆弱性が潜む可能性も
スマートフォン全滅を引き起こすモバイル管理システムへの攻撃 EMMをどう守るか
EMMプラットフォームが絶対に安全だと考えているIT部門は多いが、必ずしもそうだとは限らない。EMMのセキュリティをあらゆる角度から万全にし、最新の脅威に備えるには。(2018/10/19)

@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)

セキュリティ・アディッショナルタイム(27):
DevOpsの邪魔にならないセキュリティをどう実現するか――CI/CDに統合可能な「IAST」とは
デジタルトランスフォーメーションの加速と同時に、セキュリティ品質に対するユーザーの目の厳しさが増す中、DevOpsのプロセスにいかにセキュリティを取り組むかは大きな課題だ。このような中、「IAST(Interactive Application Security Testing)」というカテゴリーのツールに注目が集まっている。(2018/10/4)

「優れたセキュリティ人材はめったに見つからない」は間違い:
PR:「人がいない」「予算がない」でやりたくてもやれない脆弱性検査を実施するための現実的な施策とは
脆弱性の存在を把握し、対処することが重要だとは分かっていても、肝心の脆弱性検査を実施できる人がいない――そんな状況につけ込むサイバー攻撃が増えている。脆弱性検査を行えるスキルを持った人材を育て、根本的に問題を解決するため、CompTIAでは新たな資格を設けた。(2018/9/26)

セキュリティ・アディッショナルタイム(26):
さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」
「ガートナー セキュリティ&リスク・マネジメント サミット 2018」に合わせて来日したガートナーのリサーチ・ディレクター、マーク・ホーヴァス氏に、安全なアプリケーション開発を実現するコツを尋ねた。(2018/9/19)

セキュリティ・アディッショナルタイム(24):
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。(2018/9/7)

CEDEC 2018:
ソシャゲのチートにも「海賊版サイト」 知識なくても使える不正アプリ横行
ゲーム会社が頭を抱える、一部ユーザーによるゲーム内不正行為(チート)。最近は知識がなくても不正アプリや改造ツールが入手できる海賊版サイトなどの存在もあり、企業側も対応に追われている。(2018/8/27)

対話だけではなくツールを活用したセキュリティテストの自動化が不可欠に:
Codenomicon 2018で語られた「Dev」と「Sec」連携のポイント
「Black Hat USA 2018」に先駆けて2018年8月7日にSynopsysが開催した「Codenomicon 2018」では、セキュリティ担当者と開発者、運用者が一体となってセキュアなアプリケーションを迅速にリリースに必要なポイントが紹介された。(2018/8/13)

組み込み開発ニュース:
Javaコードのテスト自動化基盤パッケージを発売
テクマトリックスは、Javaソースコードのビルド、静的解析、バグ検出の自動化環境を提供する「Jenkins Platform Package for Java」を発売した。Javaコードのテスト自動化環境を構築し、早期にバク検出する仕組みを提供する。(2018/8/13)

車載ソフトウェア:
大規模化する車載ソフト、パナソニックは品質とセキュリティを確保できるのか
日本シノプシスが主催するユーザーイベント「SNUG Japan 2018」に、パナソニック オートモーティブ&インダストリアルシステムズ社 インフォテインメントシステム事業部 主任技師の古田健裕氏が登壇。「パナソニック オートモーティブ事業部門におけるソースコード品質向上の取り組み」と題して講演を行った。(2018/8/10)

「eLearning」との連携機能などを搭載:
シノプシス、静的コード解析ツールの最新版「Coverity 2018.06」を発表
シノプシスは、同社の「eLearning」との連携機能などを搭載した、静的コード解析ツールの最新版「Coverity 2018.06」を発表した。(2018/7/24)

狙われる工場のIoT 日本企業の弱点は
家庭用のIoT機器だけでなく、工場やプラントなどの機器やセンサーもネットにつながる時代に。そうした制御システムに対するサイバー攻撃の動向、対策は。(2018/7/20)

組み込み開発ニュース:
静的コード解析ツールの最新版がセキュリティトレーニングプログラムと連携
シノプシスは、同社のオンデマンド型セキュリティトレーニングプログラム「eLearning」との連携機能などを搭載した、静的コード解析ツールの最新版「Coverity 2018.06」を発表した。(2018/7/10)

採用が広がるOSS、脆弱性を管理すべきだ:
Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。(2018/6/28)

「GitHub」で2018年2月に一般公開
iOSを起動させる「iBoot」のソースコード流出はなぜ起きた? セキュリティへの影響を解説
iOSデバイスが搭載する「iBoot」のソースコードが2018年2月、「GitHub」で一般公開された。そのいきさつとiOSのセキュリティに及ぼす影響を解説する。(2018/6/23)

Synopsysが調査:
あなたのソフトはOK? オープンソースのリスク分析
大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている――。Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。(2018/6/21)

ブログやスライドの一括インポートに対応:
GitHubから自動的にエンジニアの紹介文を作成、エンジニア支援サイト「Forkwell」がリニューアル
エンジニア支援サービスを提供するgroovesは「Forkwell」のポートフォリオサービス「Forkwell Portfolio」をリニューアルし、「コード解析ロボット」や「オンラインプロフィール」といった新機能を追加した。エンジニアの職務経歴や経験技術などを管理したり、個人のGitHubの情報を基に自動的に紹介文を作成したりできる。(2018/6/19)

組み込み開発 インタビュー:
複雑化するソフトウェア開発、3つの解析で品質を確保する――シノプシス
シノプシス(Synopsys)と言えば、ケイデンス・デザイン・システムズ(Cadence Design Systems)、メンター・グラフィックス(Mentor Graphics)と並び、半導体向けEDA(回路設計自動化)ツールの大手ベンダーとして広く知られてきた企業だ。2017年度の売上高は約27億米ドル(約2960億円)で、従業員は約1万2000人にのぼる。(2018/5/16)

特集:Microsoftテクノロジーの現在と未来:
IntelliCode:AIを利用した効率的なコーディングを実現?
AIを利用して効率的なコーディングを実現しようという「IntelliCode」。その概要と、Visual Studio以外の環境で試す方法を紹介。(2018/5/15)

コスト削減だけではない:
今こそ知りたい! RPAツールの選び方
バックオフィスの業務を自動化するRPAが注目されています。効果的に運用できれば、大幅な業務改善につながりますが、どのようなツールを選んだらいいのでしょうか。ポイントを解説します。(2018/4/23)

1990年代のツールをオープンソース化
Windows 3.0のファイルマネージャーがWindows 10でよみがえる
「Windows 3.0」に搭載されていた「ファイルマネージャー」のソースコードが「GitHub」で公開された。(2018/4/21)

iOSカメラのQRコード解析にバグ報告、不正サイトに誘導の恐れも
iOSのカメラでURLを解析する仕組みに問題があり、画面に表示されているURLとは違うWebサイトにジャンプさせることができてしまうという。(2018/3/27)

.NET TIPS:
ZXing.NETでQRコードやバーコードを解析するには?[C#/VB]
オープンソースで提供されているZXing.NETを使用して、QRコードやバーコードを含む画像を解析し、テキストやその他の情報を抽出する方法を解説する。(2018/3/14)

dotTEST 10.3.3:
VB.NET/C#向けテスト自動化ツールがVS2017対応
テクマトリックスがVB.NETとC#に対応したテスト自動化ツール「dotTEST」の最新版を提供開始した。新たに「Visual Studio 2017」に対応、開発環境から離れることなくテストを実行できる。(2018/3/14)

Dev Basics/Keyword:
Roslynator
Roslynatorは、C#コードの改善に役立つ多数のアナライザー機能およびリファクタリング機能を集めたVS用拡張機能。品質の高いコードの記述に役立つ。(2018/2/20)

Synopsys Coverity:
静的解析ツール「Coverity」、対応言語とセキュアコーディング対応を強化
Synopsysが静的解析ツール「Coverity」の最新版「2018.01」を発表した。ScalaならびにVB.NETへのサポートが追加された他、SEI CERT Cコーディング標準規約(2016エディション)に完全対応した。(2018/2/20)

組み込み開発ニュース:
新たな言語に対応した静的コード解析ツールの最新版
シノプシスは、静的コード解析ツール「Coverity」の最新版「2018.01」を発表した。新しいプログラミング言語とコーディング標準規約への対応、開発ツール統合環境のサポートが拡充された。(2018/2/19)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。