パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPAがCソースコードのセキュリティスキャンツールを公開、しかし構造体には対応せず」記事へのコメント

  • by Anonymous Coward on 2012年05月10日 6時46分 (#2150216)

    これなら、オープンソースな静的解析ツールのClang Static Analyzer [llvm.org] (CSA)の方がよっぽどマシでしょう。
    ただし、CSAはfalse positiveが多いので、企業だとSATソルバーによる高い検出精度を持つ商用のCoverity [coverity.com]が良く使われています。

    ちなみに動的解析は、メモリチェックのValgrind [valgrind.org]、スレッドチェックのHelgrind [valgrind.org]、整数チェッカのInteger Overflow Checker [utah.edu] (IOC)あたりが定番ですね。

    • by Anonymous Coward on 2012年05月10日 10時16分 (#2150311)

      > ただし、CSAはfalse positiveが多いので、
      まさにフリーのツールは誤検出が多いというのが開発動機の1つらしいんだけど。報告書 [ipa.go.jp]くらい読もうず。
      今後の課題として構造体への対応が挙げられているので、(少なくとも建前上は)わざと削ったわけではないらしい(予算が足りないと暗に言っているのかもしれない)。

      親コメント
    • by Anonymous Coward

      ドキュメントのみから判断するとライセンスは微妙を通り越して違反しているように見えるが

      • by Anonymous Coward

        違反って何? ROSEは修正BSDだから何の問題もなさそうだけど。ほかにパクってるコンポーネントでもあるの?

        • by Anonymous Coward

          iCodeChecker/lib/open_source_licenses.txtを見るとGPLV3と互換性のない古いRubyライセンスが含まれている

犯人はmoriwaka -- Anonymous Coward

処理中...