テクマトリックスは,Javaのソースコードに含まれるぜい弱性を検出するソフト「Jtest Security」(米Parasoft製)の販売を開始すると発表した。業界標準・団体が発表しているぜい弱性に関するコーディング・ルールを約200種類搭載しており,これらのルールに基づいてソースコードとその処理フローを解析する。スタンドアロン版と,既存の開発環境にインストールするプラグイン版を用意。価格はそれぞれ120万円(税別)。12月31日までのキャンペーン期間中は99万8000円(税別)である。
Jtest Security(写真1)は,セキュリティ対策基準「PCI DSS」「SANSアプリケーション調達基準」や,Webアプリケーションに含まれるぜい弱性トップ10を掲載した「OWASP TOP 10」,「CWE/SANS最も危険なプログラミングエラーTop 25」などで発表されているぜい弱性に関するコーディング・ルールを約200種類搭載する。これらのコーディング・ルールに基づいて,ソースコードを静的解析(パターン・マッチング)し,クロスサイト・スクリプティング(XSS)やSQLインジェクション,HTTPレスポンス分割などのぜい弱性をピンポイントで検出する。独自のコーディング・ルールを追加したり,ルールをカスタマイズしたりすることも可能。セキュリティ以外には,バグやパフォーマンス,スレッド,書式など全32カテゴリーのコーディング・ルールを備える。
また,ソースコードの処理フローを解析する「フロー解析機能」を備える。複数のクラスやパッケージにまたがる実行パスを解析し,特定のパスで発生する可能性のある問題を検出する。「プログラムを実行する前に,具体的な問題を発見できる」(テクマトリックス システムエンジニアリング事業部 ソフトウェアエンジニアリング営業部 ソフトウェアエンジニアリング営業第二課の山田新吾氏,写真2)。
Jtest Securityの利点は,「Javaアプリケーションの実装工程でぜい弱性を検出,修正できること」(山田氏)。山田氏によると,アプリケーションの開発工程において,XSSやSQLインジェクションなどのセキュリティ問題が最も多く混入するのは実装工程(開発・製造段階)だという。「実装の後工程におけるバグ修正コストは,テスト工程で15倍,保守・運用工程では100倍になる。開発段階での問題検出・修正は,開発コストの低減につながる」(同氏)。
