SCAは、ソフトウェアのソースコードを多角的に分析し、そこに潜む脆弱性を正確にかつ、効率的に発見、修正することができるソフトウェアスイートです。このソフトウェアスイートには、脆弱性分析エンジン、分析ビューワー、分析ナレッジデータ、ＩＤＥプラグイン等、脆弱性発見と修正に必要なソフトウェア群で構成されています。

*	ソースコードを解析して脆弱性、品質に関わる問題点を発見・可視化
*	問題の原因、概要、修正の推奨、影響などの提供
*	最新のセキュリティノウハウをネットで提供
*	対応言語：JAVA、JSP、C/C++、C#、VB.NET、ASP.NET、SQL、PHP5、JavaScript、ASP、ColdFusion5
*	対応プラットフォーム：　Windows, Linux, Solaris, HP-UX, AIX, Mac OS X
*	複数の言語が混在したシステムも一括解析
*	関数の関係やデータの流れなどをロジカルに分析し、解析精度を向上
*	何百万行のソースコードが解析可能なスケーラビリティ

ＳＣＡは様々なソフトウェアコンポーネントで構成されるソフトウェアスイート製品です。

コンポーネント名 概要 備考 SCA Engine (Analysis 360) アプリケーションソースコードを分析するエンジン本体です。ソースコードをロジカルに分析し、結果を出力します。   セキュアコーディングルールパック (Fortify Rules) セキュアコーディングのノウハウを蓄積したルールファイルです。ネットワークを通じて取得します。   Rules Builder 独自にルールを作成する場合に利用するツールです。   Audit Workbench SCA Engineによって分析された結果を利用し、ビジュアルに問題の箇所、概要、修正方法の閲覧や修正を行うことができます。   IDE Plugin Audit Workbenchの機能を既存のIDE環境から利用できるようにするためのソフトウェアです。   Team Server SCAによって分析した結果をブラウザーを経由して複数の人が閲覧や問題の管理を行うことができるサーバー製品です。 選択するパッケージによっては含まれない場合があります。 FORTIFY Manager SCAによって分析した結果を収集し、時系列管理や様々なレポート作成を行うことができるソフトウェアです。 オプション製品

様々なプラットフォーム上で稼働し、様々に対応した、ソースコードの脆弱性を検知するためのパワフルな分析エンジンです。Secure Coding Rulepacksやユーザー独自に登録したCustom Rulesにしたがって脆弱性を発見し、分析レポートを作成します。

SCAによって生成された分析結果をビジュアルに表示、修正するためのソースコードビューワーです。ユーザーそれぞれの役割に応じて分析結果を様々な視点から見ることが可能です。
単にソースコードの脆弱性の位置を表示するだけでなく、脆弱性に対する影響や修正方法を参照しながらソースコードの編集が可能で、また、修正の優先度を管理することもでき、開発者のセキュアプログラミングのトレーニングにも最適です。

既存のIDE環境を使って開発されている方のために、SCAとIDEを連携させるためのプラグインを用意しております。プラグインによって既存の開発環境上でシームレスに脆弱性の分析、修正を行うことができます。

[対応開発環境 (IDE Plug-ins)]
Eclipse, Visual Studio, Websphere Studio Application Developer
Rational Application Developer

研究や実践で培われたセキュアプログラミングのノウハウをルールパックに凝縮し、50,000以上のセキュリティ脆弱性パターンを網羅したナレッジデータ ベースです。脆弱性を検知するための情報だけでなく、影響や修正に関するガイダンスも登録されています。年間サブスクリプション契約によって常に最新のセ キュリティプログラミングノウハウを自社開発サイクルに組み込むことができます。

 

●検査できる代表的な問題
　・SQLインジェクション
　・クロスサイトスクリプティング
　・バッファオーバーフロー
　・Memory Leak
　・Resource Injection
　・Command Injection
　・Null Pointer
　・Access Control

 

SCAで提供されるナレッジデータベースだけではなく、お客様が独自に脆弱性検知のルールを追加することができます。開発環境固有のルールや企業のセキュリティポリシーを開発ソフトウェアに反映させうころとができます。
Rules Builderは、このルールを作成、編集するツールです。

Team Server（チームサーバー）は、SCAエンジンによって生成された結果ファイルを管理し、Webブラウザーを通じて複数の利用者が問題の閲覧や監査を 行うことができるサーバー機能です。Team ServerによってSCAを持たない利用者や協力会社、オフシュア先など様々な場所でネットワークを通じて問題の管理、閲覧を行うことができるようにな ります。

画面はFORTIFY SCA TeamServerへBrowserからアクセスした画面
（クリックすると拡大画像がご覧いただけます）

FORTIFY Managerは、開発者やセキュリティ監査担当者だけでなく、プロジェクト管理者にも有効なソフトウェアセキュリティ統合管理・管理ツールです。
各担当者の役割に応じたレポーティング機能だけでなく、企業のセキュリティポリシーに基づき、各プロジェクト共通のセキュリティルールの設定、プロジェクト個別のルール設定等を集中して管理・監視することができます。
FORTIFY Managerを利用することによって企業内全ての開発プロジェクトのセキュリティの状況を把握することができ、企業全体のソフトウェア品質の向上に効果を発揮します。
FORTIFY Managerはセキュリティチームと開発チーム、そして全ての関係者とのコミュニケーションを円滑にします。

JAVA、JSP、C/C++、C#、VB.NET、ASP.NET、SQL、PHP5、JavaScript、ASP、ColdFusion5

今までは、気の遠くなる時間とコストを費やす必要がありましたし、手作業の脆弱性分析には限界があります。
SCAは、このような大規模開発プロジェクトにおける脆弱性発見に大変大きな効果をもたらします。大量なソースコードを手作業で調べる何十倍も何百倍も短期間、低コストに、かつ、高い精度で脆弱性の発見と修正が可能です。