プレス リリース « プレス リリース メインに戻る

米国国土安全保障省のソフトウェア イニシアチブに Coverity が採用される
Coverity がスタンフォード大学と共同で、40 以上の主要なオープン ソース ソフトウェア プロジェクトの毎日のセキュリティ監査に資金を供給する DHS 助成金を複数年にわたって獲得


2006 年 1 月 11 日、サンフランシスコ発 – 世界最先端のスケーラブルなソース コード解析ソリューションのメーカーである Coverity, Inc. は本日、安全なサイバースペースの支援を目的とした新しい連邦国土安全保障省高等研究計画局の助成金のもとで、主要なオープン ソース ソフトウェア プロジェクトのセキュリティ監査を毎日実行するために、その主力製品である Coverity Prevent が採用されたと発表しました。監査結果は、業界および政府の開発コミュニティが、世界で最も重要で広く利用されている一部のソフトウェアでセキュリティの脆弱性を特定し、修正できるように、Web 上で毎日公表されます。

“脆弱性の検出および修正オープン ソース強化プロジェクト” と呼ばれる 3 年間の助成金は、国土安全保障省の科学技術会議 (DHS S&T) による広範な連邦政府イニシアチブの一環として提供されます。このイニシアチブは、任務遂行のためにコンピュータ システムに依存するインターネットなどの重要なネットワークを含め、国家の通信インフラストラクチャを保護する技術の開発と配備を促進することを目的としています。

「DHS 助成金は、Coverity Prevent(TM) が市場できわめて大きなけん引力となっている新たな証しです。当社は 2 年以内に、100 社以上の顧客を獲得することによって、ソリューションの価値を実証できました。このような重要なセキュリティ イニシアチブのために連邦政府に採用されたことは、何よりも当社の技術を立証するものです。政府のセキュリティ基準はきわめて高く、Coverity がその要件を満たしていることを嬉しく思います。」と、Coverity のマーケティングおよび営業開発部門担当副社長 David Park は述べています。

Coverity Prevent では、ソース コード レベルで 20 種類以上のセキュリティの脆弱性を検出できます。その静的解析方法では、100% のパス カバー率を達成し、複雑なコード内にある見つけにくいバグを検出します。いわゆる “真の脆弱性” を検出すると同時に、安全なコーディングの事例を適用できます。真の脆弱性とは、開発者がコードを作成するときに、バッファ オーバーフロー、ファイルベースの競合状態、サイズおよび範囲チェック エラーなどのエラーが、誤って、または意図的にソフトウェアに持ち込まれることです。Coverity は、開発者がより安全なコードを作成できるように、安全なコーディングの最優良事例のライブラリも提供しています。

米国国立標準技術研究所に委託された Mitre Corporation の 2002 年の調査では、連邦政府内の重要な業務に既に使用されている 230 以上のオープン ソース ソフトウェア パッケージが確認されました。

助成金に関する調査責任者は、Coverity Prevent の背景にある技術を最初に開発したスタンフォード大学コンピュータ サイエンス部門の Dawson Engler 教授が務めます。

「スタンフォード大学と Coverity で構築された技術が、国土安全保障省に認められたことを喜んでいます。政府のグローバルな IT インフラストラクチャを動かしている技術のセキュリティを向上できることを嬉しく思います。」と、Engler 教授は述べています。

助成金の条件に従って、Coverity とスタンフォード大学は、40 以上のオープン ソース ソフトウェア プロジェクトを夜間回帰解析として自動的に解析するシステムを構築および管理し、検出された欠陥を公的にアクセス可能なバグ データベースに公開する予定です。

Coverity の技術では、静的ソース コード解析機能を使用して、さまざまな隠れたセキュリティ エラーを検出します。このようなエラーによって、特定の入力値の場合にシステム セキュリティが頻繁に危険にさらされますが、ソフトウェアがクラッシュする可能性はありません。Coverity はコードの正確な場所を特定し、それぞれのセキュリティの脆弱性の原因を究明します。さらに、静的解析では、コードを実行せずにエラーを検出できます。この機能により、たとえばテスト フェーズでそのコード パスの多くを実行するのが容易でなく、時間がかかるようなオペレーティング システムで、エラーを検出できます。

Coverity とスタンフォード大学が開発したソフトウェア セキュリティ解析機能を利用している 40 以上のオープン ソース ソフトウェア プロジェクトには、Apache、FreeBSD、GTK、Linux、Mozilla、MySQL、PostgreSQL などがあります。

Coverity について
Coverity (www.coverity.com) は、ソフトウェアの欠陥とセキュリティの脆弱性を特定するための世界最先端のスケーラブルなソース コード解析ソリューションのメーカーであり、サンフランシスコに本社を置く株式非公開企業です。Coverity は、スタンフォード大学の科学者たちによって 2002 年に設立されました。彼らの 4 年間にわたる研究プロジェクトから、ソフトウェア業界のコストのかかる問題を解決するための画期的なアプローチが生み出されました。この研究の画期的な成果により、開発者は何千万行もの新しいコードまたは既存のコード内のソフトウェアの欠陥とセキュリティ脆弱性を迅速かつ正確に排除できます。Coverity のソリューションは現在、Juniper Networks、Symantec/VERITAS、McAfee、Synopsys、NASA、PalmOne、Sun Microsystems、Wind River などの 85 社以上の大手企業で利用されており、これらの企業のソフトウェアの品質を大幅に向上させています。

Coverity は Coverity, Inc. の登録商標です。Coverity Extend および Coverity Prevent は Coverity, Inc. の商標です。その他の会社名および商品名は各社の商標または登録商標です。


広報担当
Craig Oda
Page One PR for Coverity
coda@pageonepr.com
650-565-9800 内線 : 102

David Park
dave@coverity.com
(415) 321-5204

« プレス リリース メインに戻る