Enviar pesquisa
Carregar
静的解析ツールKlocwork によるCERT-C/CWE対応
•
Transferir como PPTX, PDF
•
0 gostou
•
1,047 visualizações
Masaru Horioka
Seguir
静的解析ツールKlocwork を使用した CERT-C/CWE観点でのセキュアコーディングチェックの基本的な考え方、使用方法を紹介します。
Leia menos
Leia mais
Software
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 30
Baixar agora
Recomendados
静的解析Klocwork とJenkins CIの連携
静的解析Klocwork とJenkins CIの連携
Masaru Horioka
Power app custom api v0.1.21.1221
Power app custom api v0.1.21.1221
Ayumu Inaba
CI, CD, CT, Deploy, IaaS, DevOps, Stage
CI, CD, CT, Deploy, IaaS, DevOps, Stage
Artur Basak
Node-REDからREST APIに接続
Node-REDからREST APIに接続
Hitachi, Ltd. OSS Solution Center.
[D34] Shared Nothingなのに、Active-Activeクラスタ? ~ 高いスケーラビリティを誇る日立国産DBMS「HiRDB」のクラス...
[D34] Shared Nothingなのに、Active-Activeクラスタ? ~ 高いスケーラビリティを誇る日立国産DBMS「HiRDB」のクラス...
Insight Technology, Inc.
Shift Left fängt ganz links an
Shift Left fängt ganz links an
BATbern
Klocworkのご紹介
Klocworkのご紹介
Masaru Horioka
Azure Arc 概要
Azure Arc 概要
Kazuki Takai
Recomendados
静的解析Klocwork とJenkins CIの連携
静的解析Klocwork とJenkins CIの連携
Masaru Horioka
Power app custom api v0.1.21.1221
Power app custom api v0.1.21.1221
Ayumu Inaba
CI, CD, CT, Deploy, IaaS, DevOps, Stage
CI, CD, CT, Deploy, IaaS, DevOps, Stage
Artur Basak
Node-REDからREST APIに接続
Node-REDからREST APIに接続
Hitachi, Ltd. OSS Solution Center.
[D34] Shared Nothingなのに、Active-Activeクラスタ? ~ 高いスケーラビリティを誇る日立国産DBMS「HiRDB」のクラス...
[D34] Shared Nothingなのに、Active-Activeクラスタ? ~ 高いスケーラビリティを誇る日立国産DBMS「HiRDB」のクラス...
Insight Technology, Inc.
Shift Left fängt ganz links an
Shift Left fängt ganz links an
BATbern
Klocworkのご紹介
Klocworkのご紹介
Masaru Horioka
Azure Arc 概要
Azure Arc 概要
Kazuki Takai
Fury - Docker Meetup
Fury - Docker Meetup
Gabriel Eisbruch
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
briscola-tokyo
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
Masaru Horioka
はじめてのScrum
はじめてのScrum
Kenji Morita
Fundamentals of DevOps and CI/CD
Fundamentals of DevOps and CI/CD
Batyr Nuryyev
OutSystems ユーザー会 セッション資料
OutSystems ユーザー会 セッション資料
Tsuyoshi Kawarasaki
脱RESTful API設計の提案
脱RESTful API設計の提案
樽八 仲川
Open Liberty / WebSphere Liberty
Open Liberty / WebSphere Liberty
Takakiyo Tanaka
Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
Shotaro Suzuki
大規模Redisサーバ縮小化の戦い
大規模Redisサーバ縮小化の戦い
Yuto Komai
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
Ansible でお世話になっている機能と拡張
Ansible でお世話になっている機能と拡張
akira6592
Nutanix.でインテリジェントなDR Leapを使う
Nutanix.でインテリジェントなDR Leapを使う
Takahiro HAGIWARA
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
Hironori Washizaki
SharePoint 開発入門
SharePoint 開発入門
Hiroaki Oikawa
Jitsi Meetとは?
Jitsi Meetとは?
Masahito Zembutsu
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
CData Software Japan
Wsfc basic 130720
Wsfc basic 130720
wintechq
FPGAによる大規模データ処理の高速化
FPGAによる大規模データ処理の高速化
Kazunori Sato
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
Developers Summit
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Toru Yamaguchi
Mais conteúdo relacionado
Mais procurados
Fury - Docker Meetup
Fury - Docker Meetup
Gabriel Eisbruch
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
briscola-tokyo
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
Masaru Horioka
はじめてのScrum
はじめてのScrum
Kenji Morita
Fundamentals of DevOps and CI/CD
Fundamentals of DevOps and CI/CD
Batyr Nuryyev
OutSystems ユーザー会 セッション資料
OutSystems ユーザー会 セッション資料
Tsuyoshi Kawarasaki
脱RESTful API設計の提案
脱RESTful API設計の提案
樽八 仲川
Open Liberty / WebSphere Liberty
Open Liberty / WebSphere Liberty
Takakiyo Tanaka
Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
Shotaro Suzuki
大規模Redisサーバ縮小化の戦い
大規模Redisサーバ縮小化の戦い
Yuto Komai
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
Ansible でお世話になっている機能と拡張
Ansible でお世話になっている機能と拡張
akira6592
Nutanix.でインテリジェントなDR Leapを使う
Nutanix.でインテリジェントなDR Leapを使う
Takahiro HAGIWARA
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
Hironori Washizaki
SharePoint 開発入門
SharePoint 開発入門
Hiroaki Oikawa
Jitsi Meetとは?
Jitsi Meetとは?
Masahito Zembutsu
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
CData Software Japan
Wsfc basic 130720
Wsfc basic 130720
wintechq
FPGAによる大規模データ処理の高速化
FPGAによる大規模データ処理の高速化
Kazunori Sato
Mais procurados
(20)
Fury - Docker Meetup
Fury - Docker Meetup
オープンソースのAPIゲートウェイ Kong ご紹介
オープンソースのAPIゲートウェイ Kong ご紹介
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
はじめてのScrum
はじめてのScrum
Fundamentals of DevOps and CI/CD
Fundamentals of DevOps and CI/CD
OutSystems ユーザー会 セッション資料
OutSystems ユーザー会 セッション資料
脱RESTful API設計の提案
脱RESTful API設計の提案
Open Liberty / WebSphere Liberty
Open Liberty / WebSphere Liberty
Azure Network 概要
Azure Network 概要
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
Developing .NET 6 Blazor WebAssemby apps with Radzen Blazor component library...
大規模Redisサーバ縮小化の戦い
大規模Redisサーバ縮小化の戦い
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
ゼロトラスト、やってみた。~そこにCOVID-19がやってきた~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
Ansible でお世話になっている機能と拡張
Ansible でお世話になっている機能と拡張
Nutanix.でインテリジェントなDR Leapを使う
Nutanix.でインテリジェントなDR Leapを使う
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SQuaREに基づくソフトウェア品質評価枠組みと品質実態調査
SharePoint 開発入門
SharePoint 開発入門
Jitsi Meetとは?
Jitsi Meetとは?
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
「私のkintone 連携には何が最適?」CData Software ソリューションを使うケースは?
Wsfc basic 130720
Wsfc basic 130720
FPGAによる大規模データ処理の高速化
FPGAによる大規模データ処理の高速化
Semelhante a 静的解析ツールKlocwork によるCERT-C/CWE対応
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
Developers Summit
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Toru Yamaguchi
Scalable Generator: Using Scala in SIer Business (ScalaMatsuri)
Scalable Generator: Using Scala in SIer Business (ScalaMatsuri)
TIS Inc.
エンタープライズソフトウェア開発とOSS
エンタープライズソフトウェア開発とOSS
Hiroshi Nakamura
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
Game Tools & Middleware Forum
Klocwork 2017.0アップデート
Klocwork 2017.0アップデート
Masaru Horioka
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
Infrastructure as Code
Infrastructure as Code
裕貴 荒井
ソフトウェア技術者から見たFPGAの魅力と可能性
ソフトウェア技術者から見たFPGAの魅力と可能性
Kenichiro MITSUDA
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
どっちの VS ショー / 伝統の Visual Studio 2019、人気の Visual Studio Code
どっちの VS ショー / 伝統の Visual Studio 2019、人気の Visual Studio Code
Takashi Okawa
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
Jasst12九州 倉貫資料:アジャイル・Ruby・クラウド(ARC)を活用したビジネスにおけるテストの実践 #jasst12Q
Jasst12九州 倉貫資料:アジャイル・Ruby・クラウド(ARC)を活用したビジネスにおけるテストの実践 #jasst12Q
Yoshihito Kuranuki
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
Makoto SAKAI
研究紹介スライド
研究紹介スライド
Norihito Kitagawa
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
Masaya Tahara
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
Masaya Ishikawa
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
Node-REDのノード開発容易化ツールNode generator
Node-REDのノード開発容易化ツールNode generator
BMXUG
アイデアを形にする ③3時間でアプリ公開!ゼロからのプログラミング講座
アイデアを形にする ③3時間でアプリ公開!ゼロからのプログラミング講座
DIVE INTO CODE Corp.
Semelhante a 静的解析ツールKlocwork によるCERT-C/CWE対応
(20)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
デブサミ関西2013【A4】コード品質は曖昧なままか(安竹由起夫氏)
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Scalable Generator: Using Scala in SIer Business (ScalaMatsuri)
Scalable Generator: Using Scala in SIer Business (ScalaMatsuri)
エンタープライズソフトウェア開発とOSS
エンタープライズソフトウェア開発とOSS
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
Klocwork 2017.0アップデート
Klocwork 2017.0アップデート
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Infrastructure as Code
Infrastructure as Code
ソフトウェア技術者から見たFPGAの魅力と可能性
ソフトウェア技術者から見たFPGAの魅力と可能性
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
どっちの VS ショー / 伝統の Visual Studio 2019、人気の Visual Studio Code
どっちの VS ショー / 伝統の Visual Studio 2019、人気の Visual Studio Code
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Jasst12九州 倉貫資料:アジャイル・Ruby・クラウド(ARC)を活用したビジネスにおけるテストの実践 #jasst12Q
Jasst12九州 倉貫資料:アジャイル・Ruby・クラウド(ARC)を活用したビジネスにおけるテストの実践 #jasst12Q
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
研究紹介スライド
研究紹介スライド
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Node-REDのノード開発容易化ツールNode generator
Node-REDのノード開発容易化ツールNode generator
アイデアを形にする ③3時間でアプリ公開!ゼロからのプログラミング講座
アイデアを形にする ③3時間でアプリ公開!ゼロからのプログラミング講座
Mais de Masaru Horioka
JetBrainsライセンス購入方法
JetBrainsライセンス購入方法
Masaru Horioka
Klocwork 2018.0 アップデート
Klocwork 2018.0 アップデート
Masaru Horioka
Klocwork 2017.1アップデート
Klocwork 2017.1アップデート
Masaru Horioka
Klocwork カスタムチェッカー紹介
Klocwork カスタムチェッカー紹介
Masaru Horioka
Klocworkバージョン11.2アップデート
Klocworkバージョン11.2アップデート
Masaru Horioka
静的解析ツール Klocworkによる 機能安全規格への対応
静的解析ツール Klocworkによる 機能安全規格への対応
Masaru Horioka
Mentoring
Mentoring
Masaru Horioka
静的解析のROI
静的解析のROI
Masaru Horioka
Mais de Masaru Horioka
(8)
JetBrainsライセンス購入方法
JetBrainsライセンス購入方法
Klocwork 2018.0 アップデート
Klocwork 2018.0 アップデート
Klocwork 2017.1アップデート
Klocwork 2017.1アップデート
Klocwork カスタムチェッカー紹介
Klocwork カスタムチェッカー紹介
Klocworkバージョン11.2アップデート
Klocworkバージョン11.2アップデート
静的解析ツール Klocworkによる 機能安全規格への対応
静的解析ツール Klocworkによる 機能安全規格への対応
Mentoring
Mentoring
静的解析のROI
静的解析のROI
静的解析ツールKlocwork によるCERT-C/CWE対応
1.
1© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 1 静的解析ツール Klocwork による CERT-C/CWE対応 Masaru Horioka Sales Engineering Manager, APAC
2.
2© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 2 アジェンダ • 静的解析ツールKlocworkによるコーディング規約サポート – チェッカーとのマッピング – 分類基準 • 開発プロジェクトへの適用 – チェック項目の決定 – ベースライン解析と選別 – 日々の開発の中での解析 • デスクトップ解析、CI連携 • セキュリティレポート – エビデンスの作成 • まとめ:Why Klocwork
3.
3© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 3 静的解析ツールKlocworkによる コーディング規約サポート
4.
4© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 4 Klocworkチェッカー • Klocworkチェッカー(https://goo.gl/8d1CYu)とは – 特定のプログラミングエラーを発見するKlocworkの機能 – 用途に応じてチェックのオン・オフが可能
5.
5© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 5 Klocworkによるコーディング規約サポート コーディングルールとKlocworkチェッカーをマッピング https://goo.gl/QuLGcq
6.
6© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 6 CWEとのマッピング (https://goo.gl/9hRCMi)
7.
7© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 7 CERT-C/C++とのマッピング(https://goo.gl/xVmmb9)
8.
8© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 8 コーディング規約と静的解析ツールの チェッカーのマッピングにおける注意事項 • CWE/CERTのすべてのルールをカバーするわけではない – CWEは階層構造になっているのでそもそも何とマッピングするか?によって数字 が異なる – KlocworkのCERT-Cのカバー率は30%程度 • カスタムチェッカーによるカバー率の向上は可能 • (以下は個人的な意見)あくまでマッピングであり、書かれている全てのことをチェッ クするとは限らない(おそらくどの静的解析ツールも同じ) – ルールは自然言語 or 自然言語+サンプルコードの組み合わせで定義されている – 各ベンダーのCERT C マッピング https://www.securecoding.cert.org/confluence/display/c/Klocwork – 色々比較するためには以下のようなテストセットがある。ただしコーテストケー スをカバーできても、複雜な問題は発見できない等、利用方法には議論の余地が ある。 – https://samate.nist.gov/SRD/testsuite.php
9.
9© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 9 Klocwork分類基準(taxonomy) • Klocwork分類基準とは – Klocworkチェッカーとコーディング規約のマッピングをプログラム 上で実現したもの • .tconfとよばれるxmlファイルで提供 – 用途 • チェッカーのオン・オフ • 解析結果レポート
10.
10© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 10 CERT 分類基準を利用したチェッカーの構 成
11.
11© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 11 CERT 分類基準を利用した指摘件数レポー ト
12.
12© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 12 C/C++デフォルト分類基準を利用した指摘 件数レポート
13.
13© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 13 開発プロジェクトへの適用
14.
14© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 14 開発プロジェクトへの適用 1. チェック対象の決定 – ルールの選択 – 対象コードの選択 2. ベースライン解析 3. 日々の開発の中での解析 – デスクトップ解析、CI連携 – セキュリティレポート 4. エビデンスの作成
15.
15© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 15 1. チェック対象の決定 全てをチェックするというのは現実的ではない • チェックルールの選択例 • 納入先から指定されている • 社内・プロジェクト・コーディング標準で規定 • コーディング規約の重要度を参考に選択 • 対象コードの決定 • レガシーコード vs 新規コード • サードパーティー • OSS
16.
16© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 16
17.
17© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 17 2. ベースライン解析 • ゴール – 優先付けにより、アクション可能な状態に絞り込む • 簡単な例 – OSS、サードパーティー、自動生成のコードの指摘は全て Ignore – 出荷済みコードはレガシーコード扱いとし、Filter
18.
18© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 18 2. ベースライン解析 Klocworkの推奨展開手順 1. ルールを 選択 2. 対象外の 選択
19.
19© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 19
20.
20© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 20 no no ベースライン設定例 Project database . . . 派生元コードの解析 最初のコード 最新バージョン all issues Ignore yes 許可済みコード MISRA Ignore yes レガシーコード 指摘タイプ Fix in Later Release C&C++ 外部コード Severity Analyse/ Defer 重要度高 Analyse/ Defer リーダによる 決定 誤検知 Not a Problem yes no Filter 重要度 低 yes no 外部パッケージ Ignore yes no 自動生成・ テストコード Ignore grant アーキ テクト、 QAチー ムによ るレ ビュー アクショ ンの決定 保留
21.
21© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 21 3. 日々の開発の中での解析 Klocworkの推奨展開手順 1. デスクトッ プ解析による 問題のある コードの混入 を防止 2. 全体解析を 自動化し、指 摘件数の推移 を見える化、 メール通知
22.
22© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 22 3. 日々の開発の中での解析 重要なポイント:早期発見、早期修正 • デスクトップ解析を活用しチェックイン前に指摘を除 去 • 全体解析解析を自動化 • レポートによる見える化 • 指摘件数のトラッキング • 担当者の自動割当
23.
23© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 23 In-phase detection
24.
24© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 24 継続的インテグレーションによる解析の自 動化 Continuous Integration Server Source Control Server Manager Developer I Developer 2
25.
25© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 25 管理者のためのセキュリティレポート 開発中のプロジェクトにおける、セキュリティリスクの残存を可視化 残存するセキュリ ティ問題TOP3の 件数の推移 直近の解析におけるセ キュリティ指摘TOP3 セキュリティ指摘が多 く含まれるディレクト リ
26.
26© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 26
27.
27© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 27 4. エビデンスの作成 Web APIを利用して指摘件数やステータスを抽出し、エビデンスレポート作成 欧州の Klocwork代理 店Emenda社 が公開してい るスクリプト の実行結果
28.
28© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 28 まとめ
29.
29© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 29 まとめ 静的解析ツールKlocwork によるCERT-C/CWE対応 1. KlocworkチェッカーとCERT-C/CWEルールのマッピングを提供 2. Klocworkの設定画面やレポートで利用可能な分類基準を提供 3. 開発プロジェクトに適用するためのガイドライン、導入支援コンサル ティング(有償)を提供 4. デスクトップ解析や継続的インテグレーション環境との統合により、セ キュリティ指摘の早期発見、早期修正が可能 5. Web APIを利用することによりエビデンスの自動作成が可能
30.
30© 2017 Rogue
Wave Software, Inc. All Rights Reserved. 30
Baixar agora