静的解析の OpenAI 連携機能の追加
dotTESTは検出された違反をOpenAIに問い合わせることで、違反の解説や修正方法を具体的なソースコードを含めて回答します。
これまでもVisual StudioなどのIDEの専用ビューから違反の情報を確認できたり、静的解析のルールドキュメントから一般的な解説や修正方法を確認できましたが、OpenAI連携機能により実ソースコードにあわせた具体的な解説や修正方法を確認できるようになりました。
※ OpenAI連携機能にはOpenAIの利用契約は含まれておりません。利用者が個別に契約する必要があります。
※ dotTESTのOpenAI 連携は、HTTPS/TLS 上で OpenAI REST API を使用します。
※ OpenAI 連携をご利用の場合、OpenAIにソースコードなどの情報が送信されます。
詳細は以下のParasoft ドキュメントをご覧ください。
OpenAI 統合
https://docs.parasoft.com/display/DOTTESTJP20232/OpenAI+Integration
OpenAI 設定方法
https://docs.parasoft.com/display/DOTTESTJP20232/Configuring+Open+AI+Settings
新規ルールの追加
フロー解析のルールが追加されました。
- BD.PB.INTDL:整数型の変換によるデータの損失を避ける
- BD.PB.INTVC:整数型の変換による値の変化を避ける
- BD.PB.INTWRAP:整数の算術演算によるラップアラウンドを避ける
セキュリティコンプライアンスのルールを追加
- CWE 4.13
- CWE Top 25 2022
- CWE Top 25 2023
- CWE Top 25 + On the Cusp 2022
- CWE Top 25 + On the Cusp 2023
- DISA-ASD-STIG
- HIPAA
- Microsoft Secure Coding Guidelines
- OWASP API Security Top 10-2019
- OWASP API Security Top 10-2023
- OWASP ASVS 4.0.3
- OWASP Top 10 2017
- OWASP Top 10 2021
- PCI DSS 3.2
- PCI DSS 4.0
- Security Assessment
- UL 2900
- VVSG 2.0
コンプライアンスの遵守を促進するパッケージを更新
コンプライアンスパッケージを導入することにより、dotTEST による静的解析の結果からCWE 4.13 、CWE Top 25 2023 に則った遵守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。
ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。
※セキュリティコンプライアンスルールによる静的解析および遵守/逸脱レポートの参照には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。
カバレッジの強化
新規のカバレッジ専用ツールのdottestcov が追加されました。
従来のアプリケーションカバレッジの計測に比べて手順が簡略化されます。
アプリケーションのアセンブリファイルのカバレッジ計測によりソースコードが無い状態でもカバレッジの計測が可能になりました。
環境面 への対応
最新の.NET 8に対応しました。さらに、C# 12で書かれたコードの解析がサポートされました。
サポート対象言語およびフレームワークについてはこちらをご確認ください。
その他の変更点
- DTP の違反エクスプローラーに表示されたデータをCSVファイルにエクスポートできるようになりました。
- Windows Server 2019 のサポートが終了しました。
最後に
dotTEST をもっと知りたい・試してみたいという方のために、無償のセミナーと体験版をご用意しています。是非ご利用ください。
