セキュリティコンプライアンスのルールを追加し、静的解析を強化
セキュリティ関連の静的解析のルールを追加しました。
ソフトウェアの脆弱性を識別するための共通脆弱性タイプ一覧であるCWE(Common Weakness Enumeration)のver.4.4やOWASP Top 10 -2017、新たにOWASP API Security Top 10-2019といった9種類のセキュリティコンプライアンスに対応しました。
- OWASP Top 10 -2017
- OWASP API Security Top 10-2019
- PCI DSS 3.2
- CERT for Java
- CWE 4.4
- CWE Top 25 2020
- CWE Top 25 +On the Cusp 2020
- UL 2900
- DISA-ASD-STIG
※セキュリティコンプライアンスルールによる解析には、「セキュリティコンプライアンスパック」オプション(別売)が必要です。
コンプライアンスの遵守を促進するパッケージを更新
Jtest のCWE Compliance アーティファクトでCWE List Version 4.4 がサポートされるようになりました。コンプライアンスパッケージを導入することにより、Jtest による静的解析の結果から新たに追加された OWASP API Security Top 10-2019 や CWE 4.4、CWE Top 25 2020 に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。
ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。
Lombokの静的解析サポートを開始
Lombokを使用したプロジェクトを静的解析出来るようになりました。
新しい抑制フォーマット
抑制方法として、DTP、ソースコード上での抑制に加えて、外部ファイルを使用した抑制が可能となりました。ソースコードと一緒に、バージョン管理システムに保存することができます。
特定ブランチとの差分解析
ブランチ間の差分を解析し、現在の作業ブランチで変更されたファイルだけを解析範囲にすることができます。これにより、コードをチェックインする前に最新のコードの変更でバグを検出し、修正することができます。
単体テストアシスタント機能を強化
単体テストを効率化する、単体テストアシスタント機能が幾つか強化されました。JUnit5を使用したパラメータライズのテストができるようになりました。さらに、レポートの作成やカバレッジの計測時間が短縮され、カバレッジレポートのサイズが小さくなりました。このほか、ネストされたテストスイートの実行のサポート、Optionalクラスのインスタンスを生成できるようになりました。
Parasoft Jtestについて
Jtestは、テスト工数の大幅削減とセキュアで高品質なJavaシステムの開発を強力にサポートするJava対応テストツールです。2,000個以上のコーディング規約をもとにソースコードを静的に解析し、プログラムの問題点や処理フローに潜む検出困難なエラーを検出します。さらに、JUnitを用いた単体テストについて、作成、実行、テストカバレッジ分析、テスト資産の管理といった単体テストに係る作業をサポートし、単体テストの効率化を促進します。