coverity やばい - まめめも
PPL サマースクール 2008が告知されています。内容はおおいわさんのFail-Safe Cと、coverity 社の人による Thread Analyzer for Java とかいうツールの紹介だそうです。 それとは関係ないんですが、coverity 社がやってる Coverity Scan というサービスがあります。coverity 社の製品の Prevent という静的解析ツールのデモみたいなもので、Apache とか OpenSSL とかのオープンソースプロジェクトに対して Prevent で検査した結果を無償提供してくれています (参考) 。ただし脆弱性のヒントになる可能性があるので、各プロジェクトの開発者のみに公開。 ここぞとばかり Ruby のコミッタ権限を活用して Ruby の結果を見せてもらったんですが、これ、かなりすごいです。 鬼車が /x{1,1}/ でメモリリー
Find and fix defects in your Java, C/C++, C#, JavaScript, Ruby, or Python open source project for free Test every line of code and potential execution path. The root cause of each defect is clearly explained, making it easy to fix bugs Integrated with
オープンソースプロジェクトのコードの不具合率は、独自開発ソフトウェアの場合と「ほぼ同等」――。コベリティは2月24日、オープンソースプロジェクト45件および独自開発ソフトウェア41件のソースコードを解析した「2011年度版Coverity Scanレポート」を発表した。 米Coverityが毎年実施しているこの調査は、活動が活発なオープンソースプロジェクトと、同社の匿名ユーザーからサンプルとして提供された独自開発ソフトウェアのソースコードを解析したものだ。 2011年度調査によれば、オープンソースプロジェクト45件のソースコード約3700万行の不具合密度の平均(1000行当たりの不具合の数)は0.45だった。一方、独自開発ソフトウェア41件のソースコード約3億行を解析したところ、不具合密度の平均は0.64だった。 また、コード行数が同等の規模の場合、オープンソースプロジェクトと独自開発ソフ
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Androidカーネルの解析で分かった、OSS活用に潜む危険性 ~Coverity(コベリティ)CEOのセス・ハレム氏 インタビュー
CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
「FindBugs」「Jenkins」をサポートし、不具合検出の幅が大きく広がった静的解析ツール「Coverity Static Analysis 5.5」
2011年10月4日、コベリティは、C/C++やJava、C#のソースコード解析ツールの新バージョン「Coverity Static Analysis 5.5」を発表しました。発見が難しく、誤動作の原因となるバグを効率よく検出できる同ツールの新バージョンでは、前バージョンに比べてコード解析速度が向上し、より広範囲な開発環境に対応できるよう強化が施されました。Coverity Static Analysisの特長や新機能から、ソースコード静的解析のメリットについて考えてみましょう。 テストケースの用意は不要。ビルド時に不具合を発見 「Coverity Static Analysis」は、C/C++やJava、C#の各言語で記述されたソースコードに含まれるバグを検出できるソフトウェア開発支援ツールです。大規模・複雑化するソフトウェア開発において、ソースコードの不具合は、出荷遅延や修正対応による
「マルチスレッド・アプリのミスは忘れたころに露見する」米Coverity社のCEOが語る 米Coverity CEO Seth Hallem氏 ソフトウエア解析ツールの専門メーカーであるコベリティ(Coverity)は2008年5月12日,マルチスレッドのJavaプログラムを動的に解析するツール「Coverity Thread Analyzer for Java(以下Thread Analyzer)」を日本国内向けに6月から販売開始すると発表した。これに合わせて米国本社のCEOであるSeth Hallem氏(写真)が来日し,日経ソフトウエア誌のインタビューに答えた。 Thread Analyzerは,マルチスレッドのJavaプログラムを動作させながら解析して(動的解析),マルチスレッド・プログラム特有の問題点を検出する。具体的には,複数のスレッドが同時に同じメモリー領域にアクセスしてデータ
米Coverityは米国時間3月6日,オープンソース・ソフトウエアの品質に関して調査した結果を発表した。32のオープンソース・ソフトウエア・プロジェクトを分析したところ,LAMPスタック(Linu/Apache/MySQL/Perl/PHP/Python)の品質が平均を大きく上回っていることが明らかになった。 米政府が出資した同調査では,米スタンフォード大学との協調により1750万行以上のソースコードを分析してソフトウエアの品質とセキュリティを測定する新しい基準の設立に取り組んでいる。調査の結果,ソースコード1000行あたりに含まれるバグ数は平均0.434だったが,LAMPスタックの平均バグ数は0.290だった。 これまでに同社は,独自の検査を通じてLinuxカーネルとMySQLデータベースにおけるバグ検出密度が商用ソフトより低いことを明らかにしている。米メディアの報道(internetn
Coverity 5.5はマルチコアCPUの採用などを通じて解析速度を大幅に向上させたほか、JenkinsやFindBugsといった他ツールとの統合・連携も可能にした。 コベリティは10月4日、ソフトウェア静的解析/ソースコード解析ツール「Coverity 5.5」を発表した。解析速度を従来比「最大10倍」まで向上させたほか、新たに搭載/機能強化した20種以上のチェッカーで、より精度の高いテストを実施できるようにしたという。10月19日に出荷を開始する。 新製品では中核技術である「Coverity Static Analysis」(CSA)へのマルチコアCPUの採用などを通じ、解析速度を「平均5~6倍、最大で10倍」(同社の安竹由起夫氏)まで向上させた。従来なら5時間かかっていたネットワーク機器関連の2800万行のソースコード解析なら45分で済み、3.5時間かかっていたストレージ関連の15
米Coverityは4日、新たにC#をサポートするソースコードの静的解析ソリューション「Coverity Prevent for C#」を発表した。7月から出荷を開始する。 Coverity Preventは、ソースコードのコンパイル時にソフトウェアの欠陥を指摘するソフトウェア。ソースコード内で考えられる全てのパスを解析し、システム障害、メモリ破壊、セキュリティの脆弱性、パフォーマンス低下、といったソフトウェアの重要な欠陥をテスト以前に検出し、修正コストの軽減や、品質の向上に効果を発揮する。また、既存のビルドプロセスと簡単に統合できるようになっており、コード変更やハードウェアの追加などは不要。 今回のCoverity Prevent for C#では、対応言語を単に拡張しただけでなく、Micorsoft .NET Frameworkに解析エンジンを再設計・最適化したとしている。 価格
現世代機になって爆発的に増加したコード量と、それに比例して増える膨大なバグにどう立ち向かうか・・・。こうした中で注目を集めているソリューションが、静的コード解析ツールです。プログラムを実行することなく、ソースコードのみで機械的にバグを発見できるとあって、採用する企業が増加しています。 GTMF東京2011で事例紹介が行われた『Coverity』も、そうした静的コード解析ツールの一つ。業界トップクラスの解析率をはじめ、複数のプロジェクトで共通する不具合の識別、制御パスすべてのシミュレートなど、多彩な機能を備えています。 会場では同社ビジネスデベロップメントマネージャの安竹由起夫氏が『Coverity』の概要を紹介。その後フロム・ソフトウェア技術部の恵良和隆氏が、実際に『Coverity』を使用しての感想や、TIPSなどについて講演しました。 はじめに竹安氏はコードの不具合クイズを行い、『Co
米Coverityが毎年恒例のソフトウェア品質レポートを発表、オープンソースとプロプライエタリソフトウェアを比較 | OSDN Magazine
米Coverityは4月15日(米国時間)、オープンソースのソフトウェア品質調査レポート「2013 Coverity Scan Report」を発表した。過去最大レベルのコードサンプルを対象に品質の分析を行ったとのことで、C/C++プロジェクトでは初めてオープンソースがプロプライエタリを上回る品質に到達したという。 Coverity Scan Reportは、オープンソースソフトウェアのコード品質を同社のソフトウェア品質・セキュリティテストツールを利用して調査したもの。米国土安全保障省との共同プロジェクトとしてスタートした年次調査で、今回で8年目となる。品質解析サービス「Coverity Scan」および商用で利用されている「Coverity Development Testing Platform」を利用して、コードを解析し不具合率を調べた。 今回の調査では700以上のオープンソースのC
Understanding Python Bytecode - Coverity Security Research Lab
I've been working with Python bytecode recently, and wanted to share some of my experience working with it. To be more precise, I've been working exclusively on the bytecode for the CPython interpreter, and limited to versions 2.6 and 2.7. Python is a dynamic language, and running it from the command line essentially triggers the following steps: The source is compiled the first time it is encount
官民共同でオープン・ソース・ソフトウェアの整合性に焦点を当てた研究プロジェクト「Coverity Scan service」は、オープンソースソフト品質レポートを発表した。同プロジェクトはオープン・ソース・ソフトウェアの完全性を調べることを目的とし、過去7年にわたって、Linux、PHPおよびApacheなどを含む300以上のオープン・ソース・プロジェクト内の8億5000行のコードを分析してきた。今回のレポートでは、4億5000行の分析結果をまとめている(HELP NET SECURITY、SourceForge.JP Magazine、本家/.)。 それによると、オープン・ソース・ソフトウェアのコード1000行あたりで検出された不具合数は0.69となり、前年の0.45から増加した。プロプライエタリソフトウェアの不具合率は0.68で、わずかな差でオープンソースソフトウェアに勝利する結果とな
Coverity、LAMPのコード品質を評価
Expired:掲載期限切れです この記事は,掲載期限を過ぎましたので本サーバから削除しました。 このページは20秒後にEnterprise トップページに自動的に切り替わります。
Coverity 2012: 低欠陥密度を実現するには
原文(投稿日:2013/05/07)へのリンク この記事では,何人かのプロジェクトリーダの証言を紹介する。いずれも極めて低いCoverity Scan欠陥密度を達成したプロジェクトにおいて,採用されたプロセスを詳しく説明したものだ。 先日リリースされた Coverity Scan Report 2012 には,調査に参加したオープンソースプロジェクト中のトップ108に関する検査結果が報告されている。調査対象となったコードは総計で6,800万行になり,昨年の3,700万LoC に対して大幅に増加している。Coverityはメモリ破壊や初期化されない変数,エラー処理の問題など,重要度が中ないし高のエラーを対象として静的コード解析による検査を実施し,欠陥密度(Defect Density)をプロジェクト単位,および全プロジェクトの平均として算出する調査である。 平均欠陥密度は過去5年間,最低値で
開発の促進と、セキュリティおよび品質の向上 Coverity®は、開発チームとセキュリティ・チームがソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティと品質の不具合に対処すること、アプリケーション・ポートフォリオ全体のリスクを追跡および管理すること、セキュリティおよびコーディング規約へのコンプライアンスを確保することを支援する、迅速かつ正確で拡張性の高い静的解析(SAST)ソリューションです。 ペースを落とさずにより良いコードを構築できるよう開発者をサポート Coverityは、Code Sight™ IDEプラグインと連動して、開発者がコードを記述するときに、セキュリティと品質の不具合を見つけて修正できるようにします。 迅速で正確な差分解析がバックグラウンドで実行され、中断を最小限に抑えつつ、開発者にCWE情報、修正ガイダンス、関連するセキュリティ・トレーニングなどのリア
米Coverityが年次オープンソースソフト品質レポートを発表、Linuxは低い不具合率をキープ | OSDN Magazine
米Coverityは5月7日(米国時間)、ソフトウェア品質についての年次調査「2012 Coverity Scan Open Source Report」を発表した。オープンソースソフトウェアとプロプライエタリソフトウェアの不具合率はほぼ同じとなり、Linuxカーネルの不具合率は平均値を下回る好成績だったという。 Coverityは、開発テストやオープンソースソフトウェアの品質解析サービス「Coverity Scan」などを提供するベンダー。「Coverity Scan Open Source Report」はオープンソースソフトウェアの完全性を調べるもので、米国土安全保安省との共同プロジェクトとして2006年にスタートした。現在はCoverityのプロジェクトとして年に一度報告書を作成している。 Coverity ScanサービスはCoverityの顧客が開発するプロプライエタリなソフト
静的解析ツール活用は顧客満足のため――カーナビ開発で活躍するCoverity Static Analysis
静的解析ツール活用は顧客満足のため――カーナビ開発で活躍するCoverity Static Analysis:コベリティ静的解析ツール活用事例~三菱電機三田製作所 高性能・多品種化する近年の電子機器ではソースコードが肥大化しており、短時間で不具合を検出する静的解析ツールの重要性はますます高まっている。しかし、せっかくの静的解析ツールもバグの検出精度が低ければ、最終的には人手を煩わしたりと結局余計な時間がかかってしまう。高性能化が進むカーナビの開発で、検出精度の高さに定評があるコベリティの静的解析ツール「Coverity Static Analysis」を導入した三菱電機三田製作所の事例を紹介する。 組み込みソフトウェアの開発効率を高める手段として注目度が高まっている静的解析ツール。電子機器自体の高性能化に加え、市場規模や機種数の拡大といった環境変化に伴い、短時間で不具合を検出する静的解析ツ
coverity とは、C とかのソースコードを静的解析してバグ (っぽい箇所) を教えてくれるツールである Prevent を作ってる会社です。Coverity Scan というサービスをやっていて、オープンソースプロジェクトに対して Prevent を適用した結果を無償で提供してくれています。詳細は過去のぼくの記事を参照のこと。 Coverity Scan は今のところ以下の 3 つのレベルからなっています。 rung 0: プロジェクトを登録しただけ。開発者がサインインすれば rung 1 に上がる。 rung 1: 開発者は解析結果を参照できる。古い Prevent を使うので解析精度はあまりよくない。報告されたバグを全部直したら rung 2 に上がる。 rung 2: 最新の Prevent を使う。解析精度がかなり改善されている (らしい) 。今のところここまで。 で、今年の
ソフトウェア品質管理ベンダーの米Coverityは5月20日(米国時間)、オープンソースソフトウェアの品質に関する調査書「Scan Report on Open Source Software 2008」を発表した。2年にわたって約250のオープンソースプロジェクトのコードをスキャンしたもの。オープンソースソフトウェアの品質とセキュリティは改善しているとまとめている。 調査では、欠陥(バグ)密度をスキャンする自社「Coverity Scan」サイトと静的コード解析ツール「Coverity Prevent」の2つを利用して、約250のオープンソース・約5500万行のコードを繰り返しスキャンした。ApacheやLinuxなど、人気が高いオープンソースを選んだ。分析したコードは合計で100億行近くに達するという。 その結果、Scanサイトではこの2年間で欠陥密度の検出数が16%削減するなど、オー
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
日本シノプシスが静的コード解析ツール「Coverity」の最新バージョン「Coverity 8.5」を発表した。「MISRA C 2012」を完全サポート、セキュリティ解析機能も強化した。 日本シノプシスは2016年7月12日、静的コード解析ツール「Coverity」の最新バージョン「Coverity 8.5」を発表した。 新バージョンではコーディングガイドライン「MISRA C 2012」を完全サポートしており、自動車や医療機器といったミッションクリティカルなソフトウェア開発支援機能を強化した。 言語対応としては新たにRubyとNode.jsの解析機能が搭載されており、セキュリティ面では既にサポート済みプログラミング言語のセキュリティ解析機能が強化され、加えてOWASP Top 10やCWE/SANS Top25などで指定されている脆弱性の検出が可能となっている。 IDE(統合開発環境)
Coverity ScanがJava, Apache Hadoop, HBase, Cassandoraのコード向上をサポート
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
米Coverity 日本支社は4月14日、ソフトウェア精密解析モジュール「Coverity Build Analysis」を発表した。ソフトウェアビルドの工程を支援するツールで、スイート製品の一部として提供される。 Coverity Build Analysisは、ソフトウェアビルドを自動的にスキャンし、問題点を洗い出すソフトウェアツール。Coverityではこれまで、静的解析ツール「Coverity Prevent」、動的解析ツール「同 Dynamic Analyzer」アーキテクチャ管理ツール「同 Architecture Analyzer」などを提供してきたが、ソフトウェアの品質向上のためには、「すべてのステップが網羅されることが不可欠」(共同設立者兼チーフアーキテクトのアンディ・チョウ氏)。またCoverityの調査によれば、顧客の60%以上がシステム開発で障害が起きやすいポイント
オープンソースとプロプライエタリ、コードの品質に大きな差はない? 米Coverityが年次調査結果を発表 | OSDN Magazine
米Coverityは2月23日(米国時間)、オープンソースのコード品質に関する年次調査「2011 Coverity Scan Open Source Integrity Report」を発表した。結論として、オープンソースソフトウェアとプロプライエタリソフトウェアとで不具合率はほぼ同じ、とまとめている。 この調査は、2006年にCoverityと米国土安全保安省がオープンソースソフトウェアの完全性を調べる目的で開始したプロジェクト。現在はCoverity単独のプロジェクトとして年次報告書を出している。 今回の調査では、同社の解析エンジン「Coverity 5」を用いた開発テストプラットフォームを利用し、活発なオープンソースプロジェクト上位45件(合計3700万行)、それに匿名ユーザーから提供を受けた41件のプロプライエタリソフトウェア41件(合計750万行)を対象として調査した。オープンソ
Coverity(コベリティ、本社:米サンフランシスコ)は、C#アプリケーションのシステム障害、メモリ破壊、またはパフォーマンス低下につながる可能性があり、修正を必要とする重大な欠陥を検出するツール「Coverity Prevent for C#(以下Prevent for C#)を発表した。 同社は、すでにC、C++、Java向けの解析ツールを販売しているが、今回のエンジンは既存の解析機能を新しい言語に拡張したものではなく、Microsoft .NET ベースのアプリケーションに合わせて設計・最適化された、全く新しい解析エンジンをベースにしているという。 Prevent for C#は、クラッシュ、パフォーマンスの低下、およびプログラムの誤動作の原因となるC#ソースコード内の欠陥を自動検出するほか、すべてのパスを解析し、可能なすべての実行ブランチを追跡するという。また、何百万行のコードも
米Coverity 日本支社は11月17日、ソフトウェア品質を改善するためのソフトウェア「Coverity Software Readiness Manager for Java」「Coverity Architecture Analyzer」を発表した。 Software Readiness Manager for Javaは、ソフトウェアの品質を確認するための製品。CoverityのCTO、ベン・シェルフ氏は「マネージャや上級管理者は、どの時点でソフトウェアをリリースしていいのかがよく分からず、勘に頼っているのが現状だ。しかしこのソフトウェアでは、十分に提供できる品質にあるのかなど、意志決定者に適切なデータを提供できる」とその意義を説明する。 具体的には、自社の静的解析ツール「Coverity Prevent」をはじめとする異なる指標を利用。情報の相関性を見ることで、そのソフトウェアの
米Coverity、クラウドベースのオープンソース静的解析サービス「Coverity Scan」とGitHubやTravis CIとのインテグレーションを発表
米Coverityは、GitHubやTravis CIを利用しているオープンソース・ソフトウェア・プロジェクトの開発者が、クラウドベースのオープンソース静的解析サービス「Coverity Scan」を利用して、よりセキュリティの高いコードの迅速な開発を可能にする、2種類のインテグレーションを、3日(現地時間)に発表した。 新インテグレーションの導入によって、開発者は自分たちのクラウドベースのプラットフォームを利用して、ソフトウェアリリース前にコード作成、アプリケーション構築、高インパクト不具合の検出や修正などができる。 また、独自の開発インフラを持たず、GitHubやTravis CIなどを利用してソースコントロール管理や継続的インテグレーションのニーズを満たしているオープンソース・プロジェクトも、「Coverity Scan」サービスを利用しやすくなる。 「Coverity Scan」は
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Coverity Scan - Static Analysis
オープンソースコードの品質は独自開発ソフトと「ほぼ同等」――Coverity調査
Coverity: オープンソースコードの不具合件数は商用コードを下回る
「マルチスレッド・アプリのミスは忘れたころに露見する」米Coverity社のCEOが語る
「LAMPスタックの品質はオープンソース・ソフトの平均を上回っている」,米Coverity調査
2800万行を45分で解析──コベリティ、ソフトウェアテストツール「Coverity 5.5」発売
コンパイル時にC#のコードの欠陥を指摘するツール「Coverity Prevent for C#」:CodeZine
【GTMF2011】ゲームの品質管理に力を発揮するCoverity / GameBusiness.jp
Coverity、オープンソースソフト品質レポートを発表 | スラド デベロッパー
Coverity 静的解析(SAST)ソフトウェア | Synopsys
Coverity Scan で Ruby が rung 2 に上がった - まめめも
オープンソースの品質は改善、米Coverity調査 | OSDN Magazine
Coverity Integrity Center - Architecture Analysis, Static Code Analysis, Build Analysis, Dynamic Source Code Analysis | Coverity
多面的にコードの問題を可視化するCoverity Readiness Manager
MISRA C 2012サポートなど、静的コード解析ツール「Coverity」に新バージョン
米Coverity、ソフトウェアビルドを支援するツール「Build Analysis」
Coverity、解析速度を大幅向上したデベロップメントテスト・プラットフォームの最新版
Coverity、C#アプリの欠陥や脆弱性を検知するツールを発表 | エンタープライズ | マイコミジャーナル
米Coverity、ソフトウェア開発の品質検証を支援するツールなど2製品