Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecureAssist + Coverity

S-cubism
November 10, 2017
Technology
0
140

SecureAssist + Coverity

S-cubism

November 10, 2017
Tweet

More Decks by S-cubism

See All by S-cubism
WSLでreactの開発環境作った話
scubism
0
610
未経験者がAndroidアプリをリリースするまで
scubism
0
85
scubism_LT_20180223_細田謙二_イベントソーシング
scubism
0
130
REVEAL.JSをちょっとだけ使ってみた
scubism
0
240
忙しい人のための仮想通貨
scubism
0
81
サーバ作業の注意コマンド
scubism
0
93
最近勉強してること、次にやりたいこと
scubism
0
82
FOOD TECH
scubism
0
45
Firebase(Realtime Database)について
scubism
0
100

Other Decks in Technology

See All in Technology
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
3
540
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
300
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
6.1k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
110
元インフラエンジニアに成る / Human Resources to Human Relations
bobtani
4
900
私が trocco を推す理由
__allllllllez__
1
210
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
DevOpsDays History and my DevOps story
kawaguti
PRO
9
2.4k
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
170
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
290
Java EE/Jakarta EEの現状と将来 ―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
140
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
370

Featured

See All Featured
A better future with KSS
kneath
231
16k
Designing with Data
zakiwarfel
96
4.8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Writing Fast Ruby
sferik
621
60k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Scaling GitHub
holman
457
140k
Code Reviewing Like a Champion
maltzj
514
39k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
19
1.7k
Optimising Largest Contentful Paint
csswizardry
8
2.4k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k

Transcript

  1. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 1 Page

    SecureAssist + Coverity 2017/11/10 S-cubism LT 谷内 隼斗

  2. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 2 Page

    はじめに ・皆さん、セキュリティは大事ですか? ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか? ⇒こちらは、どうでしょうか

  3. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 3 Page

    はじめに ・セキュリティは、個人レベルで守らなければならない物 ⇒「仕様」や「納期」と同じ、「守らなければならない物」 「仕様」であれば、「設計書」があり… 「納期」であれば、「チケット期日」や「WBS」がある。 では、「セキュリティ」は…?

  4. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 4 Page

    大きな目的 ・ツールや仕組みで、セキュリティを担保する 「セキュリティ対策してますか?」に、 YES!! と、答えよう。

  5. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 5 Page

    本勉強会の目的 ・うちで使ってる静的コード解析ツールを使えるようにする ⇒SecureAssist ⇒Coverity

  6. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 6 Page

    概要 ・SecureAssist ⇒静的なコード解析ツールです。 開発環境にプラグインを導入すると動作します。便利。 ※コード書いて、セーブしたらチェックされます。 ・Coverity ⇒静的なコード解析ツールです。 SecureAssistと異なり、サーバ上で動作します。 開発環境でプラグインを導入すると閲覧が可能となります。 ※コード書いてcommitした物が、毎晩チェックされます。

  7. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 7 Page

    システム全体像 SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

  8. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 8 Page

    何が出来るの?SecureAssist ・SecureAssistのテスト分類 ※上記以外に独自のルールを作って適用する事も可能 ⇒ツールが簡易的なコードレビューを行える!! ☆参考動画☆ https://www.youtube.com/watch?v=Tacv_WBdalo

  9. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 9 Page

    SecureAssist動作概要 ・SecureAssistの動作原理 1.SecureAssist用のサーバがライセンス管理を実施 ※ライセンスがある人だけ、プラグインを利用できる 2.開発環境にプラグインを適用する 3.開発環境を立ち上げると、ライセンスがチェックされる 4.ライセンスが問題無ければプラグインが有効になる 5.ソースコードのセーブ時に、ローカルで静的コード解析 SecureAssist Server Local PC Download Plugin Activate Plugin License Local Check

  10. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 10 Page

    何が便利?Coverity ・Coverityのテスト分類 シノプシスの静的解析は深い、フルパスのカバレッジ精度を実現し、1億行を超える様なソー スコードを抱える大規模プロジェクトであっても、迅速な解析で開発チームをサポートします。 主要な開発環境やCI/CDツールとの統合も可能です。DevOpsのスピードを損なわずにアプリ ケーション・セキュリティ・テストを実施でき、数多くの組織におけるコストとリスクの低減 とより早い市場への製品投入をサポートしています ⇒要するに、凄い。(小並感) コードの関係性を見て、機能と機能の間の解析が可能らしい 「コードとしては間違ってないけど、論理的に矛盾してる」 みたいな一歩進んだ潜在的な欠陥や脆弱性を検知できます。

  11. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 11 Page

    Coverity動作概要 ・Coverityの動作原理 1.Coverity用のサーバに、解析対象のコードを読み込み 2.Coverity用のサーバで、解析を実行 3.Coverity用のサーバで、ライセンス管理を実施 4.開発環境にプラグインを適用する 5.開発環境のメニューからライセンス登録を行う 6.ライセンスが問題無ければプラグインが有効になる 7.専用のViewerを開くと、解析結果の閲覧が可能 Coverity Server Local PC Download Plugin (only view) Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check

  12. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 12 Page

    システム全体像(再掲) SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

  13. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 13 Page

    おわりに ・皆さん、セキュリティは大事ですか? ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか? ⇒SecureAssistとCoverityを利用しています。 セキュリティだけではなく、コードの品質も担保してます。