検出可能なエラー

バグの発見から脆弱性対策・機能安全対応までを1つのツールでカバー

近年になって、世の中の様々な物や仕組みがソフトウェアに依存するようになりました。もはや、「ソフトウェアが世界を動かしている」と言っても過言ではありません。こうした背景のもと、ソフトウェアに対する要求は高まるばかりです。

一方で、良いソフトウェアを短期間で、かつセキュアに開発することは容易ではありません。ソフトウェアの脆弱性によるリスクは年々深刻度を増しています。 ハッカーたちは貴社の製品、あるいは会社やブランドに危害を加えるだけでなく、車のブレーキシステムを不正に操作したり、ペースメーカーに異常を起こさせたりといった危険な行為によって、人命さえ危険に晒そうとしています。
ソフトウェア開発者は、単に製品が機能面で正しく動作することだけではなく、ソースコードが正しくテストされ、かつ安全であることに対して責任を持つ必要があります。

Klocwork(クロックワーク)は、開発者のデスクトップや継続的インテグレーション環境上で、ソースコード内に潜む何百種類ものソフトウェアセキュリティの脆弱性を自動的に検出します。Klocworkの静的コード解析機能は、脆弱性の発見・修正、および管理のための一貫したベストプラクティスを開発チーム全体に対して提供します。

パス解析+コーディングルールのチェックに対応した豊富なチェッカー

Klocworkは標準でC/C++JavaC#に対して数百種類以上のチェッカーを揃えており、バージョンアップごとに進化し続けています。豊富なチェッカー機能をそれぞれのソフトウェア開発環境やプロセスごとの詳細なニーズに合致させるため、KlocworkのWebユーザインターフェースや Web API、個々のチェッカーや複数のチェッカーをまとめたチェッカーグループの有効/無効を設定することが可能です。

Klocworkが検出するプログラミングエラー・脆弱性の例(詳細はC/C++JavaC#

Klocworkのチェッカーは、次のようなプログラミングエラーや脆弱性を検出します。

  • バッファー オーバーフロー
  • 情報漏えい
  • 同時実行制御違反
  • 初期化されていないデータの使用
  • 検証されていないユーザー入力
  • 脆弱性のあるコーディング作法
  • 無限ループ
  • 不適切なリソース管理
  • インジェクション
  • 禁止されたAPI
  • NULLポインタの間接参照
  • メモリー配置エラー
  • クロスサイト・スクリプティング
  • メモリーとリソースのリーク

様々な業界コーディング 標準をカバー

どのようなビジネス領域においても言えることですが、ソフトウェアのセキュリティ要件や品質・機能安全要件を満たすためには、複数のコーディング標準を順守する必要があります。

Klocworkは以下の主要なコーディング標準をサポートするチェッカー機能、およびレポーティング機能を備えており、コーディング標準の順守状況チェック、およびレポートの作成を簡単に行えます。

  • CWE
  • DISA STIG
  • OWASP
  • CERT
  • CWE/SANS Top 25
  • MISRA

加えて、KlocworkはISO 26262およびIEC61508のツール認証を取得しています。
機能安全規格への順守が求められる開発プロジェクト向けの静的コード解析ツールとして、安心してKlocworkをご利用いただけます。

独自ルール作成のためのカスタムチェッカー機能

Klocworkは防衛、通信、エレクトロニクス、モバイルおよびその他の業種において、世界でも最大規模のお客様と協業しています。このような業種のお客様は、高い品質基準を満たすために独自のコーディングルールチェックを必要としていることが少なくありません。

こうした要望に対応するため、Klocworkは柔軟で使いやすいカスタムチェッカー作成 API、およびカスタムチェッカーの開発環境を提供しています。これらの機能を利用すれば、開発者が独自のアプリケーションセキュリティに関するチェッカーを迅速、かつ手軽に作成することが可能となります。