システム・インテグレータのディノは4月10日、PHPで記述したプログラム・コードの問題点の洗い出しを請け負う「PHPコード監査サービス」の提供を開始した。ユーザー企業やソフトハウスが作成したPHPプログラムに対して、独自ツールや専門チームの手作業によるレビューを実施する。「プログラムのバグや脆弱性を早期に発見するのに役立つ」と同社は見ている。
レビューの手順としてはまず、PHPのコードをツールでチェックし、「問題点が多い機能やクリティカルな処理」(ディノ)を洗い出す。その部分に対して、専門チームがレビューしていく。「一つのアプリケーションで、およそ8個程度の機能をレビューする」(同)。レビュー後、問題の詳細と重要度を3段階で指摘したレポートをユーザーに提出する。
レビューは、(1)安全性、(2)性能、(3)保守性という三つの観点から実施する。(1)では、SQLインジェクションやXSS(クロスサイト・スクリプティング)、ディレクトリ・トラバーサルといった脆弱性を検出する。(2)では、不要なネストや非効率なSQL文の記述を検出する。(3)については、わかりづらい関数名や意味のない変数名が使われているかを調べる。
作業期間は5営業日で、対象となるPHPのバージョンは4と5。費用はPHPプログラムの規模によらず、9万8000円(税込み)である。発見した問題点についての修正や、アプリケーション全体の詳細なレビューについては個別見積もりとなる。
PHPでのWebシステム開発に強みを持つディノは、これまで個別見積もりでレビューを実施してきた。今回、PHPでの開発ニーズが高まっている一方で、「PHPプログラマの技術力の差が大きく、脆弱性を含んだままで多くのシステムが実運用されている」(ディノ)との現状を見て、サービス化に踏み切った。
