ふたつの川うるおう日記

_ [大学] 卒論発表会

学部の卒論発表会でした。PDFでだいたい目を通していたので後輩のだけ見ました(笑。一番の見所は教授の質問に対して、(オブラートに包んで)アブストラクトに書いてあると答えた所かな。まぁ基本的なことを質問した教授が知らなかったっぽいけど。

その後、↓のイベントに参加するために出る支度してたら、まだやらないといわれていた仕事の連絡が来て、急遽DBのデータ数百万件移植してました・・・。そのため、↓のイベントに遅刻してしまいました＿|￣|○。

| Bookmark:

_ [Seasar][Project] Fortify Source Code Analysis Suite

ドン引き勉強会の一貫で、フォーティファイ・ソフトウェア株式会社さんにお邪魔してソースコード脆弱性を分析してくれるFortify Source Code Analysis Suiteのデモを見せていただきました。前半部分遅刻したため見れませんでしたが、一通りの動きは見れました。

まず動きを見た上で、欲しいか欲しくないか？と聞かれたら間違いなく欲しいっと多くの方が即答するぐらい魅力的なものでした。問題は皆さん言っていますが、価格・・・。とりあえず僕にはまず買えない(;´ー`)。

EclipseのPluginになっていて、対象プロジェクトの分析を開始するとコード規模にもよりますがかなりの数の問題を指摘してくれます。対応言語・リソースはC/C++,Java,JSP,C#,VB.NET,PL/SQL,TSQL,XMLと多岐に渡ります。問題の指摘には脆弱性レベルがあり、フレームワークの機能により実際には問題が無くなる内容など、指摘して欲しくない部分もありますが、それらもルールを作って検出されないようにしてくれます。

フレームワークを使う場合は、そのフレームワーク専用のルールを定義しておくことで効率的に検証できそうです。ルールの定義も専用のGUI Builderがあり、結構複雑なルールを作れそうでした。

簡単な例では、リソースの開放忘れ、開放手順の誤り(finallyでしていないとか)、SQL Injectionの可能性の指摘など、とりあえず何も考えずに解析を実行しても即座に嬉しい効果が期待できます。

この製品を使うことで開発者が自分のプログラムのバグの可能性を見つけるだけでなく、たとえば別の会社に外注したプログラムを検品時に出来のレベルを測ることも出来ます。僕の狭い社会経験で知りうる限り、大企業であってもベンチャー企業であっても、出来の良いものは果てしなく良く、逆に出来の悪いものは果てしなく酷いソースコードです。また、同じ会社であっても作る人によってその差もバラバラです。で、納品される側はというと一部を除き大抵ソースコードレベルまで詳しく検証しません。見た目でわかる機能を満たしていればそれでOKです。そんなわけで、検品時に発注会社がFortify Source Code Analysis Suiteで検証すれば最低限の問題点は発見出きるので、それを外注先に知らせるなどして、外注する会社側は一定の品質を確保するためにも持っていると良いと思います。もちろん問題ないものも検出されるものがあるので、外注する側の会社にもある程度のノウハウが必要になりますが、それはプログラムを一から書くことを考えれば少ないんじゃないかなと思います。

ライセンスが高いので、多くの方が使う場合には、コマンドラインで実行可能だったので、例えば定期的にサーバ上でリポジトリからチェックアウトして、実行・レポートを見れる状態にするようにすると嬉しそうです。Sambaプロジェクトなどではbuild farmという各アーキテクチャと環境でコンパイルが上手く出きるかを定期的に実行する仕組みがありますが、それに脆弱性検査も足すイメージです。

| Bookmark:

_ [Seasar][Project] PigiWiki

manholeさんに教えていただたいたのですが、SeasarWikiのHelpに書かれているPukiWikiの文字列がなぜかPigiWikiに変更されているとのこと(;´ー`)。んで、見てみたら確かになってる。。manholeさんの言われてたように検索しても数件しか出てこないし、スパムってわけでもなさそう。何より一部PukiWikiのままのとこもあり、これは置換じゃなくて手動で置き換えたのかな？？とりあえず元に戻しておきました。

[追記] Apacheのログ見たら、更新されたと思われる時間帯に翻訳サービスを使って閲覧したページからPOSTしてるっぽいログがありました。もしかしたらそれが原因かもしれません。

| Bookmark: