シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

コードの品質とセキュリティを強化するシノプシスのアプリケーション・セキュリティ・テスト・ソリューション

課題

ソフトウェア・プロジェクトの品質とセキュリティの向上

FPT Softwareはソフトウェアの設計から開発、マイグレーション、モダナイゼーションまで、ライフサイクル全体にわたるサービスを顧客に提供しています。しかし顧客のシステムにソフトウェア・コンポーネントを納入しようとすると、現在の相互接続環境を想定せず設計されたレガシー・コードやアーキテクチャに直面することもしばしばです。これらを現在最先端のアプリケーションで求められる品質とセキュリティ基準に適合させるには、徹底的なテストを実施する必要があります。

FPT SoftwareのDo Van Khac氏(最高デリバリ責任者兼エグゼクティブ VP)は次のように述べています。「顧客の信用を獲得することが弊社にとって最重要事項であり、コード・セキュリティの強化には常に注意を払っています。」と言います。「特に、レガシー・コードおよびアーキテクチャの互換性の問題から生じるリスクには頻繁に直面しており、これらの修復には大きなコストがかかっていました。そこで、開発ライフサイクルのなるべく早期にコード品質とセキュリティを改善してくれるツールを評価検討することにしました。」

FPT のデリバリ・コマンド・センター(DCC)は、いくつかの静的解析ソリューションを詳細に評価した結果、同社には Coverityが最適であるとの結論に達しました。Coverityなら開発プロセスの早期にソフトウェアの問題を特定して修正できるため、コード・レビューを迅速化してコード品質とセキュリティを高められるだけでなく、開発プロセスの終盤になってこれら問題の対処に追われることもなくなり、修正にかかるコストも抑えることができます。

オープンソース・コンポーネントおよびライブラリを使用したソフトウェア開発が主流になる中で、顧客からは FPT が実施するソフトウェア・テストにソフトウェア・コンポジション解析(SCA)も含めてほしいという要望が寄せられていました。そこで同社は 2019年にシノプシスの Black Duckを導入し、現在はほぼすべてのソフトウェア・プロジェクトのテストにCoverityとBlack Duckを併用しています。

そこで、コードの品質とセキュリティを開発ライフサイクルの早い段階で改善するツールを検討することにしました。"

Do Van Khac

|

FPT Software最高デリバリー責任者兼上級副社長

FPT Software社向けのソリューション

Coverity SASTとBlack Duck SCA

静的アプリケーション・セキュリティ・テスト(SAST)のCoverityは、重大なソフトウェア品質の欠陥とセキュリティの脆弱性を特定し、ISO-9001およびSEI CMMIレベル5などの規格に準拠したセキュアで高品質なコードを実現します。Black Duck SCAにより、FPTはアプリケーションやコンテナに含まれるオープンソースおよびサードパーティーのコードから生じるセキュリティ、品質、ライセンス・コンプライアンス上のリスクを管理する包括的なソリューションを活用できます。

「コード・スキャンおよびセキュリティ・チェックの強化に関して、シノプシスのソリューションは弊社の期待を上回りました。」 とDo Van Khac氏は言います。「CoverityとBlack Duckの導入により、弊社のソフトウェア品質と顧客満足度はいずれも大きく向上しています。CoverityのおかげでOWASP Top 10に挙げられたセキュリティ問題への対策も万全となり、Webアプリケーションに対する最も重大なセキュリティ・リスクへの対処能力をアピールできました。」

すべてのエンタープライズ、とりわけコード品質が何より重視される組込みシステムを専業にしている企業には、シノプシスのアプリケーション・セキュリティ・テスト・ソリューションを強く推奨します。"

Do Van Khac

|

FPT Software最高デリバリー責任者兼上級副社長

結果

開発チームの生産性向上を支援

現在、FPTはシノプシスのCoverityとBlack Duckを使用して年間で平均200件のプロジェクトを管理しており、これらのASTツールはいずれもJenkinsビルドに統合されています。

「シノプシスは多くの問題を解決してくれました。」とDo Van Khac氏は言います。「弊社は2015年にCoverity、2019年にBlack Duckを導入しましたが、シノプシスのアプリケーション・セキュリティ・テストには非常に満足しています。弊社の評価では、シノプシスのテストは誤検知と検知漏れがいずれも10%未満と低く、問題を正しく特定できるため、開発者の生産性向上につながることが判明しています。これらツールには充実したレポート機能があり、顕在化したトレンドをリアルタイムで可視化できるため、問題にいち早く対処してリスクを最小化できます。」

「すべてのエンタープライズ、とりわけコード品質が何より重視される組込みシステムを専業にしている企業には、シノプシスのアプリケーション・セキュリティ・テスト・ソリューションを強く推奨します。」

会社概要

FPT Softwareは、ベトナムに本社を置く技術/ITサービス・プロバイダーであるFPT Corporation傘下の企業であり、約20億米ドルの収益を上げています。デジタル・トランスフォーメーションのパイオニアであるFPTは、スマート・ファクトリー技術、デジタル・プラットフォーム、ロボット・プロセス・オートメーション、人工知能、IoT、モバイル、クラウド、マネージド・サービス、テストなどの分野で世界屈指のソリューション・サービスを提供しています。