SecureAssist + Coverity

Transcript

1. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 1 Page

   SecureAssist + Coverity 2017/11/10 S-cubism LT 谷内 隼斗

2. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 2 Page

   はじめに ・皆さん、セキュリティは大事ですか？ ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか？ ⇒こちらは、どうでしょうか

3. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 3 Page

   はじめに ・セキュリティは、個人レベルで守らなければならない物 ⇒「仕様」や「納期」と同じ、「守らなければならない物」 「仕様」であれば、「設計書」があり… 「納期」であれば、「チケット期日」や「WBS」がある。 では、「セキュリティ」は…？

4. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 4 Page

   大きな目的 ・ツールや仕組みで、セキュリティを担保する 「セキュリティ対策してますか？」に、 YES!! と、答えよう。

5. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 5 Page

   本勉強会の目的 ・うちで使ってる静的コード解析ツールを使えるようにする ⇒SecureAssist ⇒Coverity

6. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 6 Page

   概要 ・SecureAssist ⇒静的なコード解析ツールです。 開発環境にプラグインを導入すると動作します。便利。 ※コード書いて、セーブしたらチェックされます。 ・Coverity ⇒静的なコード解析ツールです。 SecureAssistと異なり、サーバ上で動作します。 開発環境でプラグインを導入すると閲覧が可能となります。 ※コード書いてcommitした物が、毎晩チェックされます。

7. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 7 Page

   システム全体像 SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

8. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 8 Page

   何が出来るの？SecureAssist ・SecureAssistのテスト分類 ※上記以外に独自のルールを作って適用する事も可能 ⇒ツールが簡易的なコードレビューを行える！！ ☆参考動画☆ https://www.youtube.com/watch?v=Tacv_WBdalo

9. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 9 Page

   SecureAssist動作概要 ・SecureAssistの動作原理 １．SecureAssist用のサーバがライセンス管理を実施 ※ライセンスがある人だけ、プラグインを利用できる ２．開発環境にプラグインを適用する ３．開発環境を立ち上げると、ライセンスがチェックされる ４．ライセンスが問題無ければプラグインが有効になる ５．ソースコードのセーブ時に、ローカルで静的コード解析 SecureAssist Server Local PC Download Plugin Activate Plugin License Local Check

10. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 10 Page

    何が便利？Coverity ・Coverityのテスト分類 シノプシスの静的解析は深い、フルパスのカバレッジ精度を実現し、1億行を超える様なソー スコードを抱える大規模プロジェクトであっても、迅速な解析で開発チームをサポートします。 主要な開発環境やCI/CDツールとの統合も可能です。DevOpsのスピードを損なわずにアプリ ケーション・セキュリティ・テストを実施でき、数多くの組織におけるコストとリスクの低減 とより早い市場への製品投入をサポートしています ⇒要するに、凄い。(小並感) コードの関係性を見て、機能と機能の間の解析が可能らしい 「コードとしては間違ってないけど、論理的に矛盾してる」 みたいな一歩進んだ潜在的な欠陥や脆弱性を検知できます。

11. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 11 Page

    Coverity動作概要 ・Coverityの動作原理 １．Coverity用のサーバに、解析対象のコードを読み込み ２．Coverity用のサーバで、解析を実行 ３．Coverity用のサーバで、ライセンス管理を実施 ４．開発環境にプラグインを適用する ５．開発環境のメニューからライセンス登録を行う ６．ライセンスが問題無ければプラグインが有効になる ７．専用のViewerを開くと、解析結果の閲覧が可能 Coverity Server Local PC Download Plugin (only view) Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check

12. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 12 Page

    システム全体像(再掲) SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

13. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 13 Page

    おわりに ・皆さん、セキュリティは大事ですか？ ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか？ ⇒SecureAssistとCoverityを利用しています。 セキュリティだけではなく、コードの品質も担保してます。