静的解析のLLM連携機能拡張により開発者の修正作業をサポート／セキュリティ関連ルールの強化


dotTEST 2024.2 リリース

テクマトリックス株式会社（本社：東京都港区、代表取締役社長：矢井隆晴、以下「テクマトリックス」）は、米国Parasoft Corporation（本社：米国カリフォルニア州、最高経営責任者：Elizabeth Kolawa、以下「Parasoft社」）が開発したC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2024.2」の販売を2025年3月27日より開始します。

dotTESTは、高品質な.NETアプリケーションの開発とテスト工数の大幅削減を強力にサポートするC#言語/VB.NET言語に対応した静的解析・動的解析ツールです。3,000個以上のコーディングルールをもとにソースコードを静的に解析し、プログラムの問題点やファイルを横断した処理フローに潜む検出困難なエラーを検出します。また、.NETアプリケーションの実行中のカバレッジ情報を収集し、テストの抜け漏れの確認を容易にします。開発工程にdotTESTによる静的解析やカバレッジ情報収集を組み込むことにより、テストの効率化とソースコードの品質向上が期待できます。

このたびのバージョンアップでは、dotTESTの静的解析にすでに搭載されているOpenAIやAzure OpenAIとの連携機能に加えて、OpenAI REST APIと互換性のあるチャットコンプリーションエンドポイントを持つ任意の大規模言語モデル（Large Language Models、以下「LLM」）プロバイダーのサポートが追加されました。差分エディター機能で、AIが推奨する修正内容をその場で確認して直接コードを修正することが可能になりました。Visual Studio Codeプラグインでは、GitHub Copilot Chatとの連携が追加され、Visual Studio Code上でも実際のコードに対してなぜ違反が検出されたのか、コードのどの部分が問題であるのかについての具体的な解説を確認できるようになりました。

セキュリティ関連ルールにおいては、ソフトウェアの脆弱性を識別するための脆弱性の種類（脆弱性タイプ）の共通脆弱性タイプ一覧であるCWE（Common Weakness Enumeration）のver.4.15に対応した静的解析を行うことが可能になりました。専用のダッシュボードとウィジェットを利用して静的解析の結果をPCI DSSやOWASP、CWEなどの基準のリスクスコアリングにマッピングすることで、各基準に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになりました。

テクマトリックスは、Parasoft社製品の国内総販売代理店として、ソフトウェア開発に携わるすべてのお客様の課題を解決する最適なツールとして、dotTESTの販売、マーケティング、ユーザーサポートなどの活動を強化してまいります。
【dotTEST 2024.2の新機能・改善点】
静的解析のLLM連携機能の拡張
- LLM連携従来のOpenAIやAzure OpenAIとの連携に加えて、OpenAI REST APIと互換性のあるチャットコンプリーションエンドポイントを持つ任意のLLMプロバイダーが追加サポートされるようになりました。これにより、ローカルにデプロイされたモデルと連携することでデータが外部に送信されることなく、セキュアな環境でLLMを活用できます。前バージョンと比較して、実際のコードに合わせた具体的な解説や修正方法の精度が向上しています。
※LLM連携機能にはOpenAIの利用契約は含まれておりません。利用者が個別に契約する必要があります。
※OpenAI REST APIと互換性があるチャットコンプリーションエンドポイントを持つLLMのみのサポートです。

- 差分エディター機能AIが推奨する修正を差分エディターで確認し、直接コードを修正できるようになりました。修正をすべてに適用することも、一部を選択して適用することも可能です。この機能を利用することで、違反の修正プロセスを加速することができます。

- Visual Studio CodeプラグインでのGitHub Copilot Chatとの連携Visual Studio CodeプラグインでGitHub Copilot Chat連携機能がサポートされました。この機能を利用すると、実際のコードに対してなぜ違反が検出されたのか、コードのどの部分が問題であるかについての具体的な解説を確認できます。

※GitHub Copilot Chat連携機能にはGitHub Copilotの利用契約は含まれておりません。利用者が個別に契約する必要があります。


図1：LLMとの連携イメージ

図2：差分エディターの利用イメージ

図3：Visual Studio CodeプラグインでのGitHub Copilot Chat連携機能を活用した違反修正のイメージ

静的解析ルールの追加
フロー解析、セキュリティ関連のルールが追加されました。セキュアなアプリケーション開発をサポートします。

図4：静的解析ルールの追加

CWE 4.15セキュリティコンプライアンスルールの追加
共通脆弱性タイプ一覧CWE（Common Weakness Enumeration）のver.4.15のルールが追加されました。dotTESTは以下の18種類のセキュリティコンプライアンスルールに対応しています。

【dotTESTのセキュリティコンプライアンスルール】
- CWE 4.15
- CWE Top 25 2022
- CWE Top 25 2023
- CWE Top 25 +On the Cusp 2022
- CWE Top 25 +On the Cusp 2023
- DISA-ASD-STIG
- HIPAA
- Microsoft Secure Coding Guidelines
- OWASP API Security Top 10-2019
- OWASP API Security Top 10-2023
- OWASP ASVS 4.0.3
- OWASP Top 10 2017
- OWASP Top 10 2021
- PCI DSS 3.2
- PCI DSS 4.0
- Security Assessment
- UL 2900
- VVSG 2.0

セキュリティコンプライアンスの遵守を促進する「セキュリティコンプライアンスパック」の静的解析ルールを用いてプログラムを解析することにより、C#やVB.NETでの開発におけるセキュアコーディングの推進を強力にサポートします。また、解析結果から生成されるコンプライアンスの遵守／逸脱レポートをリアルタイムで参照できます。
※セキュリティコンプライアンスルールによる静的解析および遵守／逸脱レポートの参照には、セキュリティコンプライアンスパックオプション（別売）が必要です。
【Parasoft DTP 2024.2（レポーティング機能）の新機能・改善点】
コンプライアンスの遵守を促進するコンプライアンスパックの更新
CWE 4.15がサポートされました。セキュリティコンプライアンスレポート（遵守サマリーレポートや逸脱のレポート）は、全部で8種類のレポートの表示と出力をします。
コンプライアンスパックを導入することにより、dotTESTによる静的解析の結果からOWASPや、CWEに則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。ガイドラインの遵守状況の説明が容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアから生じるビジネスリスクを排除することが可能になります。また、チームが最大限に効率的に作業できるよう、違反をナビゲートし優先度を設定するための合理的なワークフローを提供します。

図5：CWE4.15用ダッシュボード


【Parasoft DTPのセキュリティコンプライアンスレポート】
- CWE4.15
- CWE Top 25 2023
- CWE Top 25 2023 + On the Cusp
- OWASP Top 10 2021
- OWASP API Top 10 2019
- OWASP API Top 10 2023
- PCI DSS4.0
- UL 2900

※本機能を利用するには、セキュリティコンプライアンスパックオプション（別売）が必要です。

製品の詳細につきましてはwebページをご確認ください。
詳細を見る
テクマトリックス株式会社
テクマトリックス（東証プライム：3762）は、お客様のニーズに沿った最適なITインフラとITライフサイクルをワンストップで提供する「情報基盤事業」、蓄積された業務ノウハウを実装したアプリケーションの提供により顧客の課題解決を実現する「アプリケーション・サービス事業」、“医療情報をみんなの手に。そして、未来へ。”をテーマに健康な社会を支える医療情報インフラの構築に取り組む「医療システム事業」の3事業を展開し、顧客企業のビジネスモデル変革と競争力の強化をサポートしています。
詳細はWeb サイト： https://www.techmatrix.co.jp/ をご参照ください。