Carnegie Mellon University SEI公式ブログより
Carnegie Mellon University SEI(カーネギーメロン大学のソフトウェアエンジニアリング研究所)は2018年8月15日(現地時間)、ソースコードアナリストが複数の解析結果を1つに結合可能な「SCALe(ソースコード解析ラボ)」をオープンソースとして公開したことを公式ブログで発表した。ソースコードはGitHubからダウンロード可能。
本バージョンでは、C、C++、Java、Perlなどの開発言語およびAndroidプラットフォームのコーディング標準化を目指すSEI CERT Coding Standardsと、ソフトウェアセキュリティの判定などに用いるMITER CWE(Common Weakness Enumeration)に基づくアラートを提供する。
SEIは過去3年間にわたって機能を追加してきたSCALeを活用することで、「複数の静的解析ツールを使用し、発見可能な欠陥の種類を増大できる」(SEI Senior Software Security Researcher, Lori Flynn氏)と述べ、単一の静的解析ツールよりも多くのコード欠陥を効率的に解析できるとアピールした。
SCALeはソースコードおよび、コード上で実行した静的解析ツールの出力結果を入力として受け取ることで、脆弱性に関する警告やアラートの有意順位付け、CERT Coding StandardsおよびCWEに基づくコードの修正方法をブラウザーベースで提供する。
