• HOME
  • ニュース
  • C#/VB.NET対応静的解析・動的解析ツール「dotTEST 2021.2」の販売を開始
  • 2022.02.16
    • ソフトウェア品質保証

C#/VB.NET対応静的解析・動的解析ツール「dotTEST 2021.2」の販売を開始

静的解析を強化!セキュリティコンプライアンスルール (CWE4.5、OWASP Top 10-2021、OWASP API Security Top 10-2019)の追加

テクマトリックス株式会社(本社:東京都港区、代表取締役社長:由利孝、以下「テクマトリックス」)は、米国Parasoft Corporation(本社:米国カリフォルニア州、最高経営責任者:Elizabeth Kolawa、以下「Parasoft社」)が開発したC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2021.2」の販売を2022年2月16日より開始します。

dotTESTは、高品質な.NETアプリケーションの開発とテスト工数の大幅削減を強力にサポートするC#/VB.NET対応静的解析・動的解析ツールです。 1,000個以上のコーディングルールをもとにソースコードを静的に解析し、プログラムの問題点やファイルを横断した処理フローに潜む検出困難なエラーを検出します。また、.NETアプリケーションの実行中のカバレッジ情報も収集し、テストの抜け漏れを防ぎます。 開発工程にdotTESTによる静的解析やカバレッジ情報収集を組み込むことにより、テストの効率化とソースコードの品質向上が期待できます。

このたびのバージョンアップでは、dotTESTの静的解析にセキュリティ関連ルールが多く追加されました。以前より、さまざまなセキュリティコンプライアンスに対応したルールが搭載されていますが、今回のバージョンで、ソフトウェアの脆弱性を識別するための脆弱性の種類(脆弱性タイプ)の共通脆弱性タイプ一覧であるCWE(Common Weakness Enumeration)のver.4.5やCWE Top 25 2021(+On The Cusp)、OWASP API Security Top 10 2019、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準のPCI DSSに対応した静的解析を行うことが可能になります。専用のダッシュボードとウィジェットを利用してdotTESTの静的解析違反の結果をCWEやOWASP、PCI DSSなどの基準のリスクスコアリングにマッピングすることで、各基準に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。dotTESTのレポーティング機能は、Webブラウザー上でダッシュボード表示によるさまざまな情報提供が可能なため、リモートワーク業務下においてもプロジェクトメンバー間で効率的なソースコードの品質レビューを行える環境を提供します。

環境面では、.NET Coreと.NET Frameworkを統合させた.NET 5と、C# 9のサポートを開始します。そのほか、GitHub連携の拡張機能としてGitHub ActionsからdotTESTの解析を実行してGitHub上で解析結果を確認できます。さらにAzure DevOpsとの連携も開始され、Azure Pipelines上でdotTESTの解析結果も確認可能です。

テクマトリックスは、Parasoft社製品の国内総販売代理店として、ソフトウェア開発に携わるすべてのお客様の課題を解決する最適なツールとして、dotTESTの販売、マーケティング、ユーザーサポートなどの活動を強化してまいります。

dotTEST 2021.2の新機能・改善点

CWE4.5やOWASP Top 10-2021、OWASP API Security Top 10-2019といったセキュリティコンプライアンスルールが追加

セキュリティ関連を中心に静的解析のルールが追加されました。ソフトウェアの脆弱性を識別するための脆弱性の種類(脆弱性タイプ)の共通脆弱性タイプ一覧であるCWE(Common Weakness Enumeration)のver.4.5やCWE Top 25 2021(+On the Cusp)、クレジットカード業界の情報セキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)などに対応したルールが含まれています。dotTEST 2021.2は、以下11種類のセキュリティコンプライアンスに対応しています。

【dotTESTのセキュリティコンプライアンスルール】
  • CWE 4.5
  • CWE Top 25 2021
  • CWE Top 25 + On the Cusp 2021
  • DISA-ASD-STIG
  • Microsoft Secure Coding Guidelines
  • OWASP API Security Top 10-2019
  • OWASP Top 10 2017
  • OWASP Top 10 2021
  • PCI DSS 3.2
  • Security Assessment
  • UL 2900
セキュリティコンプライアンスの遵守を促進する「セキュリティコンプライアンスパック」の静的解析ルールを用いてプログラムを解析しルール違反を検出することにより、C#やVB.NETでの開発におけるセキュアコーディングの推進を強力にサポートします。また、解析結果から生成されるコンプライアンスの遵守/逸脱レポートをリアルタイムで参照できます。
※セキュリティコンプライアンスルールによる静的解析および遵守/逸脱レポートの参照には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。

Roslyn Analyzerルールのサポートを開始

Visual Studioのソースコード解析機能であるRoslyn AnalyzerのルールをdotTESTから実行し、dotTEST上で解析結果を確認できます。

C# 9、.NET 5のサポートを開始

C# 9で書かれたコードの解析がサポートされました。また、サポート対象のフレームワークに.NET 5が追加されました。

GitHub連携の拡張

GitHub ActionsにdotTEST実行のためのActionが追加されました。これにより、GitHub ActionsからdotTESTの実行が可能になります。また、SARIFフォーマットでのレポート生成が可能となったため、dotTESTで解析を実行し、GitHub上で解析結果を確認できます。

Azure DevOpsとの連携

Azure DevOpsに拡張機能としてdotTEST extension for Azure DevOpsが追加され、dotTESTとAzure Pipelinesの連携が可能になりました。dotTESTの解析を実行することで、Azure DevOps固有のSARIFフォーマットでのレポートを生成し、Azure Pipelines上で解析結果を確認できます。

【Parasoft DTP 2021.2の新機能・改善点】

コンプライアンスの遵守を促進するパッケージの更新

CWE 4.5やOWASP API Security Top 10-2019がサポートされるようになりました。セキュリティコンプライアンスレポートは、全部で7種類のレポート表示と出力ができます。
コンプライアンスパッケージを導入することにより、dotTESTによる静的解析の結果からPCI DSSやCWE 4.5、UL2900に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。また、チームが最大限に効果的に作業できるよう、違反をナビゲートし優先度を設定するための合理的なワークフローを提供します。
※セキュリティコンプライアンス関連機能の使用には専用のライセンス(有償)が必要です。

【Parasoft DTPのセキュリティコンプライアンスレポート】
  • CWE4.5
  • CWE Top 25 2021
  • CWE Top 25 2021 + On the Cusp
  • OWASP Top 10 2017
  • OWASP API Top 10 2019
  • PCI DSS
  • UL 2900

OWASP API Top 10 2019用ダッシュボード

OWASP API Top 10 2019用ダッシュボード

機械学習データの違反分類の精度向上

機械学習データとして、追加のメタデータを送信できるようになりました。設定を有効化した場合、DTPへ送られた違反を分類する精度が向上します。
※機械学習機能の使用には専用のライセンス(有償)が必要です。

dotTEST 2021.2の体験版ダウンロード

販売開始日

  • 販売開始日:2022年2月16日
  • 出荷開始日:2022年2月16日
2022年2月16日において、保守サービスをご契約いただいているdotTESTユーザー様には、「dotTEST 2021.2」バージョンアップ製品を、無償でご提供します。

dotTESTの詳細はこちらをご参照ください。
このページをPDFファイルでご覧いただく場合は、下の[ダウンロード]をクリックしてください。

本件についてお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
se-info@techmatrix.co.jp

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。