セキュリティ関連のルールを中心に静的解析のルールを更新
セキュリティ関連のルールを中心に、静的解析のルールが多数更新されました。
ソフトウェアの脆弱性を識別するための共通脆弱性タイプ一覧であるCWE(Common Weakness Enumeration)のver.4.6 、新たにOWASP Top 10 -2021 といった10種類のセキュリティコンプライアンスに対応しました。
- OWASP Top 10 -2021
- OWASP Top 10 -2017
- OWASP API Security Top 10-2019
- PCI DSS 3.2
- CERT for Java
- CWE 4.6
- CWE Top 25 2021
- CWE Top 25 +On the Cusp 2021
- UL 2900
- DISA-ASD-STIG
さらに、コンプライアンスパッケージを導入することによりJtest による静的解析の結果から、今回新たに追加されたOWASP Top 10 2021 や CWE 4.6、CWE Top 25 2021 に則った遵守サマリーレポートや逸脱のレポートをParasoft DTP 上からいつでも確認できるようになります。
ガイドラインの遵守状況の説明責任を果たすことが容易になるだけでなく、未遵守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。
※セキュリティコンプライアンスルールによる解析には、「セキュリティコンプライアンスパック」オプション(別売)が必要です。
Docker コンテナーへのJtest のデプロイをサポート
DockerコンテナーへのJtestのデプロイがサポートされました。すぐに利用できるJtestの公式コンテナーイメージをDocker Hub上に公開しました。
コンテナーイメージのダウンロードおよび詳細についてはこちらをご確認ください。
※ Dockerコンテナー上でJtestを利用する場合はフローティングライセンスが必要です。
単体テストアシスタント機能を強化
単体テストを効率化する、単体テストアシスタント機能が幾つか強化されました。
- 最大コードカバレッジ(必要最小限のテスト数で最大限の実行経路をカバーするテストコードを生成します。)と、テストケースの保守性(主要なテストケースのみを作成します。)のオプションを切り替えてテストスイートを作成できるようになりました。
- Lombok フレームワークを使用したクラスから、テストコードを生成できるようになりました。
- Mockito 3 および 4 のサポートや@InjectMocks のサポートを開始しました。
Azure DevOps との連携
Azure DevOpsに拡張機能としてJtest Extension for Azure DevOpsが追加され、JtestとAzurePipelinesの連携が可能になりました。
Jtestの解析を実行することで、Azure DevOps固有のSARIFフォーマットでのレポートを生成し、Azure Pipelines上で解析結果を確認できます。
詳細についてはこちらをご確認ください。
GitLab との連携
GitLab ワークフローでJtest の解析を実行して SAST フォーマットで解析レポートを生成が可能になりました。
Jtest からレポートされた結果をコードの脆弱性として GitLab で参照できます。
詳細については こちらをご確認ください。
Parasoft Jtestについて
Jtestは、テスト工数の大幅削減とセキュアで高品質なJavaシステムの開発を強力にサポートするJava対応テストツールです。2,000個以上のコーディング規約をもとにソースコードを静的に解析し、プログラムの問題点や処理フローに潜む検出困難なエラーを検出します。さらに、JUnitを用いた単体テストについて、作成、実行、テストカバレッジ分析、テスト資産の管理といった単体テストに係る作業をサポートし、単体テストの効率化を促進します。
