http://www.fortifysoftware.co.jp/product.html
昨日、フォーティファイ・ソフトウェアにて、上記URLのツールの説明を受けました。コレはスゴイ。ソースコードを直接見て脆弱性に関わるナレッジベースをぶつけ、セキュリティ的な問題を開発早期に発見修正していくというツールです。擬似攻撃をかけるブラックボックス型の脆弱性診断ツールに比して、ソースコード解析中心のホワイトボックス型のものなわけです。ナレッジはまるでウィルスワクチンソフトのパターンファイルのようにフォーティファイのほうで自動配布する一方、独自ルールを作成配布することができるものです。見せてもらったのはEclipseインテグレートのものとコマンドラインのものでしたが、単純にEclipseプラグインとしてもレベルの違う作りこみがありました。
主たる顧客は世界に名だたるソフトウェアベンダーか、金融が多く、その中にはOracle、Microsoft、Apple、Adobeなんかも含まれ、日本でもイーバンクが採用したりしてるそうです。Javaだけでなく、C/C++や.NETなど幅広い言語、プラットホームを対応しています。新バージョン4.0ではスポンサードしているFindBugsを組み込み、かつ馴染ませていました。