米国国土安全保障省のソフトウェア イニシアチブに Coverity が採用される

2006 年 1 月 11 日 サンフランシスコ発 – 世界最先端のスケーラブルなソースコード解析ソリューションのメーカーである Coverity, Inc. は本日、安全なサイバースペースの支援を目的とした新しい連邦国土安全保障省高等研究計画局の助成金のもとで、主要なオープン ソース ソフトウェアプロジェクトのセキュリティ監査を毎日実行するために、その主力製品である Coverity Prevent が採用されたと発表しました。監査結果は、業界および政府の開発コミュニティが、世界で最も重要で広く利用されている一部のソフトウェアでセキュリティの脆弱性を特定し、修正できるように、Web 上で毎日公表されます。

“脆弱性の検出および修正オープン ソース強化プロジェクト” と呼ばれる 3 年間の助成金は、国土安全保障省の科学技術会議 (DHS S&T) による広範な連邦政府イニシアチブの一環として提供されます。このイニシアチブは、任務遂行のためにコンピュータシステムに依存するインターネットなどの重要なネットワークを含め、国家の通信インフラストラクチャを保護する技術の開発と配備を促進することを目的としています。

「DHS 助成金は、Coverity Prevenｔ(TM) が市場できわめて大きなけん引力となっている新たな証しです。当社は 2 年以内に、100 社以上の顧客を獲得することによって、ソリューションの価値を実証できました。このような重要なセキュリティイニシアチブのために連邦政府に採用されたことは、何よりも当社の技術を立証するものです。政府のセキュリティ基準はきわめて高く、Coverity がその要件を満たしていることを嬉しく思います。」と、Coverity のマーケティングおよび営業開発部門担当副社長 David Park は述べています。

Coverity Prevent では、ソース コード レベルで 20 種類以上のセキュリティの脆弱性を検出できます。その静的解析方法では、100% のパスカバー率を達成し、複雑なコード内にある見つけにくいバグを検出します。いわゆる “真の脆弱性” を検出すると同時に、安全なコーディングの事例を適用できます。真の脆弱性とは、開発者がコードを作成するときに、バッファオーバーフロー、ファイルベースの競合状態、サイズおよび範囲チェックエラーなどのエラーが、誤って、または意図的にソフトウェアに持ち込まれることです。Coverity は、開発者がより安全なコードを作成できるように、安全なコーディングの最優良事例のライブラリも提供しています。

米国国立標準技術研究所に委託された Mitre Corporation の 2002 年の調査では、連邦政府内の重要な業務に既に使用されている 230 以上のオープン ソース ソフトウェア パッケージが確認されました。

助成金に関する調査責任者は、Coverity Prevent の背景にある技術を最初に開発したスタンフォード大学コンピュータ サイエンス部門の Dawson Engler 教授が務めます。

「スタンフォード大学と Coverity で構築された技術が、国土安全保障省に認められたことを喜んでいます。政府のグローバルな IT インフラストラクチャを動かしている技術のセキュリティを向上できることを嬉しく思います。」と、Engler 教授は述べています。

助成金の条件に従って、Coverity とスタンフォード大学は、40 以上のオープン ソース ソフトウェアプロジェクトを夜間回帰解析として自動的に解析するシステムを構築および管理し、検出された欠陥を公的にアクセス可能なバグデータベースに公開する予定です。

Coverity の技術では、静的ソース コード解析機能を使用して、さまざまな隠れたセキュリティエラーを検出します。このようなエラーによって、特定の入力値の場合にシステムセキュリティが頻繁に危険にさらされますが、ソフトウェアがクラッシュする可能性はありません。Coverity はコードの正確な場所を特定し、それぞれのセキュリティの脆弱性の原因を究明します。さらに、静的解析では、コードを実行せずにエラーを検出できます。この機能により、たとえばテスト フェーズでそのコード パスの多くを実行するのが容易でなく、時間がかかるようなオペレーティングシステムで、エラーを検出できます。

Coverity とスタンフォード大学が開発したソフトウェア セキュリティ解析機能を利用している 40 以上のオープン ソースソフトウェア プロジェクトには、Apache、FreeBSD、GTK、Linux、Mozilla、MySQL、PostgreSQL などがあります。

Coverity, Inc.（コベリティ インク）について
Coverity (www.coverity.com) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソースコード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学の科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストのかかる問題を解決するための画期的なアプローチが生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。 Coverity のソリューションは現在、Juniper Networks、Symantec/VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 85 社以上の大手企業で利用されており、これらの企業のソフトウェアの品質を大幅に向上させています。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。

【本リリースに関するお問い合わせ先】
コベリティ 日本支社
PR担当：仲嶋
TEL: 03-5909-8838
Email: knakajima@coverity.com

【製品に関するお問い合わせ先】
コベリティ 日本支社
渡辺　晃一郎
TEL: 03-5909-8838
Email: kwatanabe@coverity.com