CodeSonarの詳細について知りたい方や静的解析に課題をお持ちの方は、お気軽にご相談ください。
\ 詳細説明をご希望の方はこちら /
お気軽相談をするCodeSonar(コードソナー)は、SAST(Static Application Security Testing)向けの静的解析ツールです。MISRA、MITRE、CWE、AUTOSAR、DISA-STIG、ISO/IEC TS 17961、SEI CERTに対応しています。
C/C++/Java/C#で書かれたソースコードを、コンパイル時に静的に深く解析し、バグ発生や脆弱性が含まれる危険な箇所を指摘し、ソフトウェアの品質、信頼性を向上させることが可能です。
また、CodeSonarは、精度が高く深い解析機能を持ち、他の静的解析ツールでは検出困難な危険な箇所を指摘します。
さらに、優れたレビュー機能を持ち効率よく解析結果の精査時等を行う事が可能です。
静的解析ツールはバグや脆弱性が含まれる危険な箇所を指摘しますが、その原理からしてカタログなどのスペック上では検出するとされている指摘を見逃す可能性があります。特に信頼性を必要とするソフトではバグ、脆弱性の見逃しは大きなディスアドバンテージとなります。
CodeSonarは、その優れた解析エンジンで、より深い解析が可能です。CodeSonar以外のツールでは見逃してしまうような指摘を検出することができます。
再現性が悪く、再現しても原因を追究するのが難しい「データレース」「割り込み干渉」は厄介な問題です。
CodeSonarは関数ポインタなどを含めた深い解析ができ、データレース、割り込み干渉の他社ツールでは見逃してしまうような危険な箇所の指摘を行う事が可能です。
近年ではCIによりDevSecOpsの実現がなされていますが、ツールによっては難しい面があります。
CodeSonarはあらかじめ各種のCI向けツール連携ができており、容易にCIを実現することが可能です。
CodeSonarは以下の安全基準、セキュアコーディング向けの数多くのコーディング規約のチェックが可能です。
レビュー向けの優れた機能により解析結果の効率よい精査が可能です。ソースコードからソースコード内のあらゆる情報をデータベース化し、マウスカーソルをシンボルに充てるだけで定義箇所、参照箇所、マクロ展開、コールツリー表示などのレビューに必要な項目を容易に調べることが可能です。指摘への精査のみならず、開発前の影響範囲調査などにも使えます。
インターステラテクノロジズ株式会社は、小型衛星打上げ用の小型液体燃料ロケットを開発している企業です。同社は2023年現在開発中の小型衛星打上げロケット「ZERO」に搭載予定の一部のソフトウェアの検証に、ユビキタスAIが提供している米国CodeSecure社の「CodeSonar」を使用しています。
NASAの火星探査機キュリオシティは、巨大なパラシュートとジェット制御により降下し、スカイクレーンと呼ばれるバンジーのような機器の支援により、見事に着陸に成功しました。火星と地球間では通信時間を要するため、着陸手順は完全にソフトウェアにより制御されました。そのソフトウェアの信頼性を高めるために、NASAは先進的な静的解析を使用しました。
「バッファオーバランといった組込みソフトウェアの問題を、開発者による機能作成段階で除去することができ、品質向上に一定の効果がある。」と評価いただいております。
医療機器向けソフトウェアの解析に関して、新技術の調査を行っている米国食品医薬品局 (FDA:Food and Drug Administration) にCodeSonarが採用されました。
「バッファオーバランといった組込みソフトウェアの問題を、開発者による機能作成段階で除去することができ、品質向上に一定の効果がある。」と評価いただいております。
ロック、アンロック、セマフォなどによる排他制御漏れの検出
割り込み処理に起因するデータ競合問題の検出
・プロシージャ間解析
各プログラム全体に渡り実行フローを追跡することができる解析手法。プロシージャ間解析を行うことで、モジュールを個別に取り扱う解析手法の際に発生するバグの見落としや誤検知を減らすことができます。
データフロー解析:モジュール内のすべてのパスの変数を追跡
HTMLおよびPDFでのカスタマイズ可能なレポートの生成
EclipseのUIからCodeSonarの解析およびCodeSonarペーンからワーニングを確認
ユーザー入力の値、ネットワークからの値、ファイルからの値などがチェックなしで使用され、割り当てられたサイズを超える問題の検出
検出されたワーニングに対する80段階の細かな重みづけによる、結果の精査効率向上
高いスケーラビリティ性
Z3 SMTソルバーの使用により、誤検出を軽減
MISRA MITRE CWE AUTOSAR DISA-STIG ISO/IEC TS 17961 SEI CERT
ソースコードやビルドスクリプトに修正を加えることなく、CodeSonar側には使用するコンパイラの実行ファイルをWizard画面に指定します。その後は、通常のビルドプロセスを行うだけで解析が可能です。また、特定のコマンドを書いて、お客様のビルドシステムにフックさせて解析を行うこともできます。
解析されたプロジェクトごとにスクリーン表示されます。
このスクリーンは解析ページと呼ばれ、CodeSonarにより検出された不具合がテーブルに表示されます。
開発チーム内で指摘の共有・管理が可能です。
CodeSonarが検出した指摘について、各指摘のステータスを開発チーム内で特定し、修正すべき指摘の優先順位や報告を行うことができます。
ワンクリックで、解析結果レポートをテーブル表、チャート図、折れ線グラフで表示することができます。
※その他のコンパイラ、バージョンの詳細に関しましては別途ご相談ください。
電話、E-mailによるサポート体制を整えております。
また、有償トレーニングや導入・運用コンサルティング支援にも対応しております。
CodeSentryは、バイナリファイルを対象としたSCAソリューションです。バイナリファイルからOSSコンポーネントを検出して、SBOMを自動作成。検出したOSSコンポーネントのCVE識別番号もあわせてレポートします。
CodeSonar for Binaries は、バイナリコードを静的に深く解析し、さまざまな種類の重大なバグとセキュリティ上の脆弱性を検出し、ソフトウェアの品質を向上させるバイナリコード向け静的解析ツールです。
Codeeはアプリケーション高速化支援ツールです。ソースコードを静的に解析し、高速化可能な部分を指摘し、どのように高速化できるかをサジェスチョンしたり、自動でコードを変更します。
GSILは、車載ECUソフトウェア開発向けのシミュレーター(SILS)です。ハードウェア無しでPC上でのシミュレーションを実現、容易にECUアプリケーションのテスト、デバッグ、検証を可能にし、工数/コストの大幅な削減と、さらなる信頼性の向上を実現します。
Testwell CTC++は、組込みシステム向けのカバレッジ計測ツールです。カバレッジを測定するために必要なインスツルメントおよびRAM消費量が非常に小さいのが特徴です。Testwell CTC++ とGSILを組み合わせることで実機完成前の早期の段階でカバレッジの測定が可能になります。
Infortainment/ADAS(先進運転支援システム)/ECU/ドライブレコーダー
ファクトリーオートメーション(FA)/ビルディングオートメーション(BAS)/オフィスオートメーション(OA)/プロセスオートメーション(PA)/POS
Digital Camera/Digital TV/IoT家電
手術用ロボット/血糖計/輸液ポンプ/体外血液循環装置/内視鏡/治療機器
太陽光発電/照明/EV/PHV/蓄電池/燃料電池/スマートメーター
ノートPC / デスクトップPC/産業用PC/エンタープライズサーバー/データセンター
