テクマトリックス株式会社(本社：東京都港区、代表取締役社長：矢井隆晴、以下「テクマトリックス」)は、米国Parasoft Corporation(本社：米国カリフォルニア州、最高経営責任者：Elizabeth Kolawa、以下「Parasoft社」)が開発したC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2023.2」の販売を2024年4月25日より開始します。

このたびのバージョンアップでは、dotTESTの静的解析にOpenAI連携機能とセキュリティ関連ルールが追加されました。OpenAI連携機能では、OpenAIおよびAzure OpenAIとの連携機能が搭載され、実コードにあわせた具体的な解説や修正方法を確認できるようになりました。セキュリティ関連ルールでは、アプリケーションの設計、開発、脆弱性診断などにおいて考慮すべきセキュリティ要件の標準であるOWASP ASVS(Application Security Verification Standard)のv 4.0.3や、ソフトウェアの脆弱性を識別するための脆弱性の種類(脆弱性タイプ)の共通脆弱性タイプ一覧であるCWE(Common Weakness Enumeration)のver.4.13や、CWE Top 25 2023(+On The Cusp)に対応した静的解析を行うことが可能になりました。また、専用のダッシュボードとウィジェットを利用して静的解析の結果をPCI DSSやOWASP、CWEなどの基準のリスクスコアリングにマッピングすることで、各基準に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できます。

環境面ではC# 12、.NET 8のサポートを開始しました。そのほか、カバレッジ専用ツールのdottestcovが追加されました。アプリケーションのアセンブリファイルのカバレッジ計測によりソースコードが無い状態でもカバレッジの計測が可能になりました。

テクマトリックスは、Parasoft社製品の国内総販売代理店として、ソフトウェア開発に携わるすべてのお客様の課題を解決する最適なツールとして、dotTESTの販売、マーケティング、ユーザーサポートなどの活動を強化してまいります。

dotTEST 2023.2の新機能・改善点

静的解析のOpenAI 連携

OpenAIおよびAzure OpenAIとの連携機能が搭載されました。
以前のバージョンでは、検出された違反に対して専用ビューから違反内容を確認し、ルールドキュメントから一般的な解説や修正方法を確認していました。本バージョンで搭載されたOpenAI連携機能では、修正方法をOpenAIに問い合わせることで、実コードに合わせた具体的な解説や修正方法を確認できます。
従来の静的解析ツールの課題である「違反の修正に時間がかかる」、「違反の具体的な修正方法がわからない」といった問題を解決し、違反の修正プロセスを加速することができます。
※OpenAI連携機能にはOpenAIの利用契約は含まれておりません。利用者が個別に契約する必要があります。

OWASP ASVS 4.0.3やCWE 4.13、CWE Top 25 2023といったセキュリティコンプライアンスルールが追加

アプリケーションの設計、開発、脆弱性診断などにおいて考慮すべきセキュリティ要件の標準であるOWASP ASVS(Application Security Verification Standard)のv 4.0.3や、共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)のver.4.13、CWE Top 25 2023などが追加されました。

dotTESTは以下の18種類のセキュリティコンプライアンスルールに対応しています。
【dotTESTのセキュリティコンプライアンスルール】

• CWE 4.13
• CWE Top 25 2022
• CWE Top 25 2023
• CWE Top 25 +On the Cusp 2022
• CWE Top 25 +On the Cusp 2023
• DISA-ASD-STIG
• HIPAA
• Microsoft Secure Coding Guidelines
• OWASP API Security Top 10-2019
• OWASP API Security Top 10-2023
• OWASP ASVS 4.0.3
• OWASP Top 10 2017
• OWASP Top 10 2021
• PCI DSS 3.2
• PCI DSS 4.0
• Security Assessment
• UL 2900
• VVSG 2.0

セキュリティコンプライアンスの遵守を促進する「セキュリティコンプライアンスパック」の静的解析ルールを用いてプログラムを解析しルール違反を検出することにより、C#やVB.NETでの開発におけるセキュアコーディングの推進を強力にサポートします。また、解析結果から生成されるコンプライアンスの遵守／逸脱レポートをリアルタイムで参照できます。
※セキュリティコンプライアンスルールによる静的解析および遵守／逸脱レポートの参照には、セキュリティコンプライアンスパックオプション(別売)が必要です。

C#12、.NET8のサポートを開始

C#12で書かれたコードの解析がサポートされました。また、サポート対象のフレームワークに.NET8が追加されました。

カバレッジ機能の強化

カバレッジ専用ツールのdottestcovが追加されました。
従来のアプリケーションカバレッジの計測に比べて手順が簡略化されるとともに、アプリケーションのアセンブリファイルのカバレッジ計測によりソースコードが無い状態でもカバレッジの計測が可能になりました。

Parasoft DTP 2023.2 (レポーティング機能)の新機能・改善点

コンプライアンスの遵守を促進するパッケージの更新

OWASP API Security Top 10 2023やCWE 4.13がサポートされました。セキュリティコンプライアンスレポート(遵守サマリーレポートや逸脱のレポート)は、全部で8種類のレポート表示と出力ができます。 コンプライアンスパックを導入することにより、dotTESTによる静的解析の結果からOWASPや、CWEに則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアから生じるビジネスリスクを排除することが可能になります。また、チームが最大限に効率的に作業できるよう、違反をナビゲートし優先度を設定するための合理的なワークフローを提供します。
※本機能を利用するには、セキュリティコンプライアンスパックオプション(別売)が必要です。

【Parasoft DTPのセキュリティコンプライアンスレポート】

• CWE4.13
• CWE Top 25 2023
• CWE Top 25 2023 + On the Cusp
• OWASP Top 10 2021
• OWASP API Top 10 2019
• OWASP API Top 10 2023
• PCI DSS4.0
• UL 2900

dotTEST 2023.2の体験版ダウンロード

販売開始日

• 販売開始日：2024年4月25日
• 出荷開始日：2024年4月25日

2024年4月25日において、保守サービスをご契約いただいているdotTESTユーザー様には、「dotTEST 2023.2」バージョンアップ製品を、無償でご提供します。