Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SecureAssist + Coverity

Avatar for S-cubism S-cubism
November 10, 2017
Technology
160
0

SecureAssist + Coverity

Avatar for S-cubism

S-cubism

November 10, 2017

More Decks by S-cubism

See All by S-cubism
WSLでreactの開発環境作った話
Avatar for S-cubism scubism
0
730
未経験者がAndroidアプリをリリースするまで
Avatar for S-cubism scubism
0
150
scubism_LT_20180223_細田謙二_イベントソーシング
Avatar for S-cubism scubism
0
160
REVEAL.JSをちょっとだけ使ってみた
Avatar for S-cubism scubism
0
280
忙しい人のための仮想通貨
Avatar for S-cubism scubism
0
130
サーバ作業の注意コマンド
Avatar for S-cubism scubism
0
150
最近勉強してること、次にやりたいこと
Avatar for S-cubism scubism
0
130
FOOD TECH
Avatar for S-cubism scubism
0
79
Firebase(Realtime Database)について
Avatar for S-cubism scubism
0
140

Other Decks in Technology

See All in Technology
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
Avatar for k.goto gotok365
5
1.1k
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
Avatar for seafay seafay
PRO
0
220
LayerXにおけるセキュリティ管理の現在地と次の一手
Avatar for tosho tosho
0
250
AWS Security Hub CSPMの成功・失敗体験
Avatar for cm-usuda-keisuke cmusudakeisuke
0
260
iAEONの段階的リアーキテクト戦略 / iAEON's_Gradual_Re-architecture_Strategy
Avatar for AEON aeonpeople
0
230
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
AIAU_UMEMOGU_ninomiya_slide
Avatar for ninomiya ninomiya_ii
0
240
LayerX コーポレートエンジニアリング室におけるサプライチェーンセキュリティへの取り組み / Supply Chain Security at LayerX Corporate Engineering
Avatar for Yuya Takeyama yuyatakeyama
2
680
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
FPGAの開発コンペでZephyrを使ってみた
Avatar for misoji engineer iotengineer22
0
140
フィジカル版Github Onshapeの紹介
Avatar for shiba_8ro shiba_8ro
0
290

Featured

See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
180
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
330
HDC tutorial
Avatar for Michiel Stock michielstock
2
720
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
8
720
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.4k
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
400
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
310
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3.1k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
140

Transcript

  1. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 1 Page

    SecureAssist + Coverity 2017/11/10 S-cubism LT 谷内 隼斗

  2. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 2 Page

    はじめに ・皆さん、セキュリティは大事ですか? ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか? ⇒こちらは、どうでしょうか

  3. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 3 Page

    はじめに ・セキュリティは、個人レベルで守らなければならない物 ⇒「仕様」や「納期」と同じ、「守らなければならない物」 「仕様」であれば、「設計書」があり… 「納期」であれば、「チケット期日」や「WBS」がある。 では、「セキュリティ」は…?

  4. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 4 Page

    大きな目的 ・ツールや仕組みで、セキュリティを担保する 「セキュリティ対策してますか?」に、 YES!! と、答えよう。

  5. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 5 Page

    本勉強会の目的 ・うちで使ってる静的コード解析ツールを使えるようにする ⇒SecureAssist ⇒Coverity

  6. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 6 Page

    概要 ・SecureAssist ⇒静的なコード解析ツールです。 開発環境にプラグインを導入すると動作します。便利。 ※コード書いて、セーブしたらチェックされます。 ・Coverity ⇒静的なコード解析ツールです。 SecureAssistと異なり、サーバ上で動作します。 開発環境でプラグインを導入すると閲覧が可能となります。 ※コード書いてcommitした物が、毎晩チェックされます。

  7. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 7 Page

    システム全体像 SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

  8. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 8 Page

    何が出来るの?SecureAssist ・SecureAssistのテスト分類 ※上記以外に独自のルールを作って適用する事も可能 ⇒ツールが簡易的なコードレビューを行える!! ☆参考動画☆ https://www.youtube.com/watch?v=Tacv_WBdalo

  9. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 9 Page

    SecureAssist動作概要 ・SecureAssistの動作原理 1.SecureAssist用のサーバがライセンス管理を実施 ※ライセンスがある人だけ、プラグインを利用できる 2.開発環境にプラグインを適用する 3.開発環境を立ち上げると、ライセンスがチェックされる 4.ライセンスが問題無ければプラグインが有効になる 5.ソースコードのセーブ時に、ローカルで静的コード解析 SecureAssist Server Local PC Download Plugin Activate Plugin License Local Check

  10. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 10 Page

    何が便利?Coverity ・Coverityのテスト分類 シノプシスの静的解析は深い、フルパスのカバレッジ精度を実現し、1億行を超える様なソー スコードを抱える大規模プロジェクトであっても、迅速な解析で開発チームをサポートします。 主要な開発環境やCI/CDツールとの統合も可能です。DevOpsのスピードを損なわずにアプリ ケーション・セキュリティ・テストを実施でき、数多くの組織におけるコストとリスクの低減 とより早い市場への製品投入をサポートしています ⇒要するに、凄い。(小並感) コードの関係性を見て、機能と機能の間の解析が可能らしい 「コードとしては間違ってないけど、論理的に矛盾してる」 みたいな一歩進んだ潜在的な欠陥や脆弱性を検知できます。

  11. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 11 Page

    Coverity動作概要 ・Coverityの動作原理 1.Coverity用のサーバに、解析対象のコードを読み込み 2.Coverity用のサーバで、解析を実行 3.Coverity用のサーバで、ライセンス管理を実施 4.開発環境にプラグインを適用する 5.開発環境のメニューからライセンス登録を行う 6.ライセンスが問題無ければプラグインが有効になる 7.専用のViewerを開くと、解析結果の閲覧が可能 Coverity Server Local PC Download Plugin (only view) Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check

  12. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 12 Page

    システム全体像(再掲) SecureAssist Server Coverity Server Local PC Download Plugin (only view) Download Plugin Activate Plugin License Bitbucket Server Commit Source Code Regist Stream Quality Assurance Auto Check Local Check for Secure Assist

  13. Copyright ⓒ 2016 by S-cubism Inc.All rights reserved. 13 Page

    おわりに ・皆さん、セキュリティは大事ですか? ⇒大部分の人が「Yes」だと思います。 では… ・皆さん、セキュリティ対策してますか? ⇒SecureAssistとCoverityを利用しています。 セキュリティだけではなく、コードの品質も担保してます。