コードジンのヘッダーが入ります
<title>Developers Summit 2010</title>
<link href="//cz-cdn.shoeisha.jp/static/devsumi/2010/css/special.css" rel="stylesheet" type="text/css" />
<div class="wrapper">
  <div class="title"> <img src="//cz-cdn.shoeisha.jp/static/devsumi/2010/images/title_report.png" width="500" height="80" /> </div>
  <h1><span>コベリティ日本支社</span></h1>
  <h2>【18-C-6】静的コード解析の山笑ふ～ビジネスインパクト分析という新アプローチ～


    <div class="name">コベリティ日本支社 シニアプロフェッショナルサービスコンサルタント　<strong>安竹 由起夫 氏</strong></div>
  </h2>
  <div class="read"> <img class="image" src="//cz-cdn.shoeisha.jp/static/devsumi/2010/images/report/743.jpg" />コベリティでは、この春にリリースする最新の静的コード解析ツール「Coverity 5」に合わせて、最先端のアプローチを提案している。それは、コード品質におけるリスクとビジネスインパクトを分類し、それに基づいて対応の優先度を適切に設定することだ。実際のコード解析結果を踏まえ、Coverity 5のデモを交えた解説がとても新鮮だった。

</div>
  <div class="clear">
    <hr />
  </div>
  <div class="block">
    <h3>高機能な静的コード解析結果を活用するリスク設定</h3>
    <p>コベリティの安竹由起夫氏はまず、静的解析には誤検知がつきものであり、誤検知との戦いだった、と語りはじめた。しかし、それは過去のことである。誤検知を無くすためのさまざまなテクニックにより、検知の精度のスピードも向上している。</p>
    <p>ただし、そうやって見つかった問題点を直すのはあくまで人間であり、どう問題を管理して直すかが次の課題となっている。現状ではまだ向上したエンジンを活かしきれていない。</p>
    <p>そこでコベリティはいま、コード不具合に対するチャレンジとして「リスク」と「影響の範囲」に注目している。つまり、不具合を早く修正する方法や、不具合の修正を確認する方法などと並んで、新しい不具合のリスクを判定することや、その不具合が製品やビジネスに与える影響の範囲を見定めることを重視している。</p>
    <p>不具合のリスクと影響範囲を設定することは、最終的には問題の「優先度」につながるという。静的解析技術の上に、優先度の高い不具合を迅速に識別し、解決するステップを構築することが、不具合のインパクトを軽減することにつながる。</p>
    <p>ビジネスに影響を与える不具合を、どのように特定すればよいのだろうか。一言に問題といってもさまざまな局面がある。機能要求が満たされていないといった不具合から、ユーザビリティやパフォーマンスに関する問題もある。実際にこういった不具合ならばこれくらいのリスクがあるということを設定するにはどうすればよいのだろうか。</p>
    <p>コベリティが提案しているのは、非営利団体のMITREが中心となって1999年ごろから策定された「<a href="http://cwe.mitre.org/" target="_blank">CWE（Common Weakness Enumeration）</a>」仕様の利用である。2006年3月に最初の原案が公開され、その後は多くのベンダーや研究機関の協力によって日々進化しており、2009年12月28日にバージョン1.7が公開されている。</p>
    <p>CWEは、例えばIPAのセキュリティ基準などよりもっと広い範囲の問題・リスクをカテゴライズしており、サンプルコードや対応方法も書かれている。659の不具合を106のカテゴリで分類し、特定のプログラミング言語に依存する問題、依存しない問題、開発者向けの問題、リサーチャー向けの問題といったように、閲覧者の目的に応じた「VIEW」で情報をフィルタリングすることもできる。</p>
    <p>プロジェクトメンバーが共通の認識に立って、このCWEをベースにリスク設定を行うことで、確実な優先度を漏れなく判定できる。
    </p>
    <h3>Coverity 5で不具合のインパクトを軽減する</h3>
    <p>静的コード解析ツールをベースとして不具合のインパクトを軽減するには、次の5ステップの手順を実現する。まず「静的解析（Scan）」にはじまり、「リスク設定（Find）」「インパクト分析（Map）」「優先度の高い不具合の修正（Fix）」「不具合修正状況の把握（Report）」と続く。</p>
    <p>Coverity 5では、共通のフローやパスから不具合を探し、コードに潜む見つけにくい不具合を高精度に検知することができる。製品内でコードを流用している場合にも、問題が起きる可能性があるコードと、問題が解消されているコードを識別できる。</p>
    <p>このようにリスクの度合いを自動的に通知し、CWEガイダンスに基づいて優先度の高い不具合を迅速に識別することができる。膨大に検出される静的解析結果がはじめて本当に有効活用されるようになってきたと言えるかもしれない。</p>
    <p>なお、コベリティでは無料トライアルも実施している。<br />
    </p>
    <div class="centerimg">
      <div class="caption">図1：ビジネスに影響を与える問題の特定</div>
      <img border="0" src="//cz-cdn.shoeisha.jp/static/devsumi/2010/images/report/slide18C6.jpg"/> </div>
  </div>
  <div class="inquiry"><strong>問い合わせ先</strong><br>
    コベリティ日本支社<br />
    〒163-0510<br />
    東京都新宿区西新宿1-26-2<br />
    新宿野村ビル10F<br />
    TEL: 03-5909-8838<br />
    FAX: 03-5909-8839<br />
  URL: http://www.coverity.com/html_ja/</div>
  <div class="bo"><a href="/devsumi/2010/report/"><img alt="戻る" border="0" src="//cz-cdn.shoeisha.jp/static/devsumi/2009/image/special/bo.gif" /></a></div>
  <div class="bo"><a href="/devsumi/2010/" target="_blank"><img src="//cz-cdn.shoeisha.jp/static/devsumi/2010/images/special/bo_devsum.gif" width="500" height="60" border="0" /></a></div>
</div>

コードジンのフッターが入ります