Jianshi TechnologyのLiu Xinming氏：ソフトウェア開発をより安全かつ効率的に

[51CTO.com からのオリジナル記事] インターネット業界の急速な発展に伴い、IT 実務家は多くの注目を集めるグループになりました。 「プログラマー」「コードファーマー」「包囲攻撃ライオン」といったニックネームは、年齢を重ねるにつれてキャリアアップの道がますます狭まるため、いくぶん自虐的なものとなっている。私の国では、40 歳を超えるプログラマーはほとんど見かけないようです。また、35 歳は IT 実務者にとってハードルになっています。

建世科技の共同創業者兼チーフアーキテクトの劉新明氏は、コードの作成やコンパイラの作成から管理業務、リスクアーキテクチャ、大型コンピュータから小型コンピュータ、携帯電話、モノのインターネット、そして超大規模クラウドコンピューティングまで、IT業界で約30年の経験を持っています。劉新明氏は情報技術の発展プロセス全体に参加してきたと言えます。

[[391096]]

建市テクノロジーの共同創設者兼チーフアーキテクト、劉新明氏

劉新明氏は、10年以上の最前線での開発業務と10年以上の管理業務を経て、自分のビジネスを始めることを選択しました。 「起業には2つの目的があります。1つは革新的なビジネスを継続すること、もう1つは適切な人材を見つけ、十分にトレーニングし、効率の高いチームを編成することです。起業とは、従業員に奉仕し、すべての従業員の可能性を最大限に引き出すことです。」劉新明氏は言った。

建石テクノロジー設立の当初の目的：バグを発見し、修正すること

ソフトウェアはどこにでもあります。今日、ソフトウェアは私たちの仕事、生活、娯楽のあらゆる側面に浸透しています。ソフトウェアは世界を変えています。客観的に言えば、大小を問わず、すべてのソフトウェアには問題があります。統計によると、コード 1,000 行ごとに少なくとも 1 つのバグとセキュリティ上の問題が存在します。コード 1,400 行ごとに重大なセキュリティ問題が発生します。 1980 年代には、大規模なソフトウェアのコード行数は約 10,000 行でしたが、1990 年代には数十万行、2000 年以降には数百万行、そして現在では数千万行になっています。つまり、今日では何千万ものソフトウェアに約 100 個のバグが存在することになります。これらのバグは発見されないことが多く、ハッカーによる攻撃を受けたときにのみ発見されます。

Jianshi Technology が行う必要があるのは、これらのバグを積極的に発見することです。劉新明氏は、これらの問題は実際にはソフトウェア開発プロセス中の思考不足とスムーズな接続の欠如によって引き起こされると説明しました。したがって、優れた環境はフォールト トレラントであると同時に、エラーを自動的に修正できるものでなければなりません。これこそが、Jianshi Technology が実現したいことなのです。

静的コード分析を極限まで進める

現在、ソフトウェア アプリケーションのセキュリティ テストには、動的コード分析、静的コード分析、インタラクティブ コード分析という 3 つの主な方法があります。静的コード分析とは、実際にプログラムを実行せずにコードのセマンティクスと動作を分析し、プログラム内の誤ったコーディングによって発生した異常なプログラムセマンティクスや未定義の動作を見つけることです。簡単に言えば、静的コード分析とは、コードの作成中にコーディング エラーを見つけるプロセスです。静的コード分析では、すべてのコードが記述されるまで待つ必要はなく、実行環境を構築したりテストケースを記述したりする必要もありません。ソフトウェア開発プロセスの早い段階でコード内のさまざまな問題を発見できるため、開発効率とソフトウェア品質が向上します。

Xcosense は、Xcosense の静的コード スキャン (SAST) 用の次世代ソース コード分析ツールです。高度なコンパイラ レベルのテクノロジを使用してデータ フローを検査し、ソフトウェア アプリケーションを分析して、欠陥検出の精度を向上させます。

Xcalscan は、ソフトウェア開発プロセスに統合することで企業の生産性向上に役立ちます。欠陥の原因となる可能性のあるソース コードを分析して特定することで、メモリ汚染、コア ダンプ、バッファ オーバーフロー、不正な操作、ヌル ポインタなどの問題を回避できます。 Aikescient のアルゴリズムには、主にデータ フロー分析、制御フロー分析、コンテキスト感度分析、オブジェクト感度分析、クロス プログラム分析、クロス ファイル分析が含まれます。同時に、誤検知の数を最小限に抑えて効率的なデバッグを実現します。

劉新明氏は、これについて詳細かつ分かりやすく説明しました。ソフトウェアのバグは、ある機能から別の機能へ、あるいはあるモジュールから別のモジュールへジャンプするなど、「境界を越える」ときによく発生します。相互作用の問題をうまく検出できず、実行状況を正確に判断できない場合、正確なデータが得られず、どこにセキュリティリスクがある可能性があるのか​​を正確に分析することができません。このクロスファンクション割り当て追跡は、Jianshi Technology の静的コード分析ツールの最大の利点です。

将来的にはより専門的なインタラクティブなコード分析が行われる予定です。

静的コード分析の欠点は、現代のソフトウェア システムがますます大規模になるにつれて、従来のスタンドアロン システムから分散システムへ、同種システムから異種システムへと、システムの複雑さも増大することです。さらに、ソフトウェア開発におけるプログラミング言語も、単一言語の使用から複数言語の共同開発へと進化してきました。これらの変更により、静的コード分析ツールに大きな課題が生じています。 「すべてのソースコードを取得できない」ことが、静的コード分析ツールが直面する最大の課題です。

劉新明氏は、インタラクティブなコード分析ツールがJianshi Technologyの将来の開発方向になることを明らかにしました。対話型コード解析ツールは、ライブラリに接続する場所にファイアウォールを構築し、「入ってくるものが仕様を満たしているか、出ていくものが会社の規定を満たしているか、情報漏洩はないか」といったさまざまなテストを実施します。もちろん、双方向性は必ずしも完璧というわけではありません。防御が極端に厳しすぎると閉鎖的になり、緩すぎるとセキュリティ防御の役割を果たさなくなります。建石テクノロジーの次の目標は、「どの部分を緩めてよいか、どの部分を締める必要があるかを明確に把握し、緩める部分は緩め、締める部分は締めることで、スムーズな相互作用を実現すること」です。

ソフトウェア開発をより効率的に

冒頭で述べたエンジニアリング環境に戻ると、必要なコード分析ツールに加えて、企業文化も非常に重要な部分です。現在、中国のほとんどの企業の構造では、ソフトウェア開発の責任者は開発エンジニアであり、テストの責任者はテストエンジニアです。開発とテストは別々です。ほとんどの開発者は、自分が書いたコードをテストしません。この作業方法では、開発とテストが分離され、バグの発見と修正に多くの時間と労力が浪費されます。開発とテストの作業を組み合わせると、つまり開発エンジニアがコードを書いた後に自分でテストすると、開発者は自分が書いたコードに精通しているため、この作業方法はより効率的になります。 「今後、Jianshi Technologyがこの状況を変え、中国企業のソフトウェア開発をより効率的にしてくれることを期待しています！」劉新明氏はこう語った。

[51CTO オリジナル記事、パートナーサイトに転載する場合は、元の著者とソースを 51CTO.com として明記してください]