並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 72件

新着順 人気順

静的解析の検索結果1 - 40 件 / 72件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

静的解析に関するエントリは72件あります。 ツールgoセキュリティ などが関連タグです。 人気エントリには 『静的解析ツールで生まれたSQLインジェクション | ドクセル』などがあります。
  • 静的解析ツールで生まれたSQLインジェクション | ドクセル

    自己紹介 小川 経歴 ~2009: Webアプリ開発のバイト&業務委託 2009~2019: 三菱重工 イット何も関係ない。野良のパソコンの大先生してた 2019~いま: root ip B2BのSaaS作ってます PHPとVue分かる人来て!!1 面白かった脆弱性 - CVE-2023-22727 PHPフレームワーク CakePHP 4 のSQLインジェクション脆弱性 ORM limit(), offset() でSQLi CVSS v3 9.8 2023/01に修正済み CakePHP Laravelの次に使用率高いフレームワーク(多分) 割と使いやすいからお勧め 一般にコード品質が上がる静的解析ツールの使用で逆に発生

      静的解析ツールで生まれたSQLインジェクション | ドクセル
    • Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ

      こんにちは。BASE BANK 株式会社 Dev Division にて、 Software Developer をしている東口(@hgsgtk)です。 BASE BANK Dev での開発では、クラウドインフラの構成管理に、 Terraform を利用しています。 世の情報をたくさんキュレーションしている CTO の@dmnlkさんに、手軽に CI に組み込めそうなセキュリティチェックツールがあることを教えてもらったので、導入してみました。 CTO氏のキュレーションメディアで紹介された tfsec を早速試して良さそうだったhttps://t.co/bl67dlW2Ub https://t.co/vAkTOVagec— Kazuki Higashiguchi (@hgsgtk) August 21, 2020 このブログの公開日は 2020/10/30 ですので、導入してから約 2 ヶ月

        Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ
      • 「開発における安全と効率の両立を追求したい」 静的解析・ユニットテスト・E2Eテストにおける、ディー・エヌ・エーの「Shift Left戦術」 | ログミーBusiness

        インターネットやAIを駆使しながら、領域に捉われずにさらなる挑戦を行うDeNAの取り組みを紹介する「DeNA TechCon 2023」。ここで認証認可システムのリノベーションチームの岸直輝氏が登壇。Shift Leftの考え方を基に実践している静的解析や自動テスト、挙動の差分を自動で発見するための取り組みについて紹介します。全2回。後半は、各フェーズにおける、静的解析・ユニットテスト・E2Eテスト、それぞれの取り組みについて。前回はこちら。 静的解析のメリットとデメリット岸直輝氏:では、ここからは今お話ししたShift Leftの具体的な取り組みについて見ていきましょう。ここでは、各フェーズごとに対応する取り組みを、静的解析、ユニットテスト、E2Eテストの3つに分けて紹介します。 まずは静的解析について。静的解析は、プログラムを実行することなく、静的にさまざまな異常を検出する手法です。静

          「開発における安全と効率の両立を追求したい」 静的解析・ユニットテスト・E2Eテストにおける、ディー・エヌ・エーの「Shift Left戦術」 | ログミーBusiness
        • Ruby 3 の静的解析ツール TypeProf の使い方 - クックパッド開発者ブログ

          こんにちは、フルタイムRubyコミッタとして働いてる遠藤(@mametter)です。昨日、Ruby 3.0.0-preview2がリリースされました! このリリースには、遠藤が開発している Ruby の静的型解析ツール TypeProf が初めて同梱されています。これの使い方をかんたんにご紹介したいと思います。 デモ TypeProf は、型注釈のない Ruby コードを無理やり型解析するツールです。とりあえずデモ。 # user.rb class User def initialize(name:, age:) @name = name @age = age end attr_reader :name, :age end User.new(name: "John", age: 20) typeprof コマンドは、Ruby 2.7 で gem install typeprof でインスト

            Ruby 3 の静的解析ツール TypeProf の使い方 - クックパッド開発者ブログ
          • Ruby 3の静的解析機能のRBS、TypeProf、Steep、Sorbetの関係についてのノート - クックパッド開発者ブログ

            こんにちは、フルタイムRubyコミッタとして働いてる遠藤(@mametter)です。 Ruby 3 は「静的型解析」を備えることが目標の 1 つになっています。遠藤が開発してる TypeProf は Ruby 3 の静的型解析エコシステムの中の 1 ツールです。しかし Ruby 3 の静的解析というと、RBS、TypeProf、Steep、Sorbet などいろいろなツール名が出てきてよくわからない、という声を何回か聞いたので、かんたんにまとめておきます。 3 行まとめ RBS:Ruby の型情報を扱う言語。Ruby 3 にバンドルされる。 TypeProf:型注釈のない Ruby コードを型解析するツール。Ruby 3 にバンドルされる。 Steep/Sorbet:Ruby で静的型付けのプログラミングができるツール。 詳しくはそれぞれ以下で解説します。 RBS とは RBS は、Rub

              Ruby 3の静的解析機能のRBS、TypeProf、Steep、Sorbetの関係についてのノート - クックパッド開発者ブログ
            • SQLインジェクションが通った原因は“静的解析ツールのバージョンアップ” 「自動修正機能」に気をつけるべき理由 | ログミーBusiness

              「静的解析ツールで生まれたSQLインジェクション」というタイトルで登壇したのは、小川 氏。「面白かった脆弱性」について解説し合い、脆弱性に関する知識を深めるためのイベント「Security․Tokyo #2」で、静的解析ツールによって生まれたSQLインジェクションの事例について発表しました。 登壇者の自己紹介小川氏:小川と申します。「静的解析ツールで生まれたSQLインジェクション」というタイトルで発表いたします。よろしくお願いします。 自己紹介を簡単に。経歴ですが、昔学生の時にWebアプリ開発のバイトをしていて、就職後は10年ぐらいぜんぜん違う、製造業で働いていました。ずっとパソコンを見ていたら目が悪くなるかなと思ってほかの業界に行ったのですが、結局ずっとExcelやWordを見ていて、あまり変わりませんでした。 結局やはりITだなと思って、最近root ipという会社に転職して、BtoB

                SQLインジェクションが通った原因は“静的解析ツールのバージョンアップ” 「自動修正機能」に気をつけるべき理由 | ログミーBusiness
              • CircleCIで勝手に強くなる静的解析の作り方 - Cybozu Inside Out | サイボウズエンジニアのブログ

                こんにちは。Garoonチームの杉山(@oogFranz)です。 以前 #PHPerKaigi 2020 にて、「静的解析の育て方」というタイトルで発表いたしました。この発表ではレガシープロダクトにおいて静的解析が有効であることと、「育てる」という比喩表現で静的解析のルールを強くしていく戦略についてお話ししました。 発表後のAsk the Speakerでは様々な方から講演へのフィードバックをいただき、特に既存のプロダクトに静的解析の導入・運用する大変さやその改善方法に関して議論を深めることができました。議論に参加いただいた皆様大変ありがとうございました。 議論の中でルールを自動的に強くしていく方法のヒントをいただきました。そのヒントを元にCircleCIで勝手に強くなる静的解析が実現ができたので紹介したいと思います。 勝手に育つ静的解析の作り方 通常、レガシープロダクトにおいて静的解析を

                  CircleCIで勝手に強くなる静的解析の作り方 - Cybozu Inside Out | サイボウズエンジニアのブログ
                • JavaScript/TypeScript向け静的解析ツール「Oxlint」が正式に公開、Rustの採用で大幅に高速化

                  Oxlintは、JavaScriptやTypeScriptのコードを調べ、エラーにつながりやすい書き方となっている部分や、必要のない部分を指摘する機能を持っている。この用途では「ESLint」が事実上の標準となっているが、100%JavaScriptで記述してあるため、実行速度が問題となっている。 Oxlintでは、プログラムを記述する言語にRustを選ぶことで処理速度を大きく引き上げた。さらに、並列処理に対応し、コンピュータのプロセッサが搭載するコアの数が増えるに従って性能が上がっていく設計になっている。さらに、テスト結果のメッセージをシンプルかつ分かりやすいものにした点も特徴として挙げられる。 正式版になる前からOxlintを試験的に使っていた米Shopifyの担当者は、ESLintを使っていた頃は自社開発のコードをテストするのに75分かかっていたが、Oxlintを使ったところ、10秒

                    JavaScript/TypeScript向け静的解析ツール「Oxlint」が正式に公開、Rustの採用で大幅に高速化
                  • Goのnil panicを防ぐ静的解析ツール:nilaway

                    nilaway どんなもの? nil パニックによるランタイムエラーになる箇所を指摘してくれる静的解析ツール スタンドアロンで動く。golangci-lintで使用するにはカスタマイズが必要。 先行技術やツールと比べてどこがすごい? 標準パッケージに同梱されているnilness[1]ではチェックできないnil パニックとなりうる箇所を指摘する 関数やパッケージの境界を跨いでnilフローを追跡 nil インターフェース値を報告 例えば以下のコードでは、nilnessはエラーを報告してくれないが、nilawayはnilパニックを報告してくれる。 var p *P if someCondition { p = &P{} } print(p.f) // nilness reports NO error here, but nilaway does. 技術のキモはどこ? Our main idea

                      Goのnil panicを防ぐ静的解析ツール:nilaway
                    • GraphQLの静的解析基盤を作った - tenntenn.dev

                      GraphQLの静的解析ライブラリgqlanalysis 副業をしているAppify TechnologiesにてGraphQLの静的解析ツールをGoで書けるライブラリgqlanalysisを作りました。またそれに合わせクエリのセレクションにidの追加忘れを指摘するlackidとgqlgoオーガナイゼーションで開発した静的解析ツールをまとめて実行できるgqlintも公開されています。 gqlanalysisを用いるとGraphQLのスキーマやクエリファイルに対するLinterを簡単に作ることができます。gqlanalysisはGoの静的解析ツールライブラリのgo/analysisに似た構造で作ってあります。 go/analysisと同様にAnalyzerという単位で解析を行います。Analyzerは別のAnalyzerの解析結果を用いることができるため、静的解析ツールをモジュール化できます

                      • 5千ファイル超のレガシープロジェクトにPHPStan継続的静的解析を導入|Komiyama Taki|note

                        以前、断捨離でテーブル約50個消した話で、大規模にdbまわりのリファクタリングをした話を書きました。 弁護士ドットコムのサイトは、10年以上運用されているため、5千ファイルある巨大PHPプロジェクトです。そのため、課題はいろいろあります。 弁護士ドットコム - 無料法律相談や弁護士、法律事務所の検索 https://www.bengo4.com/ 今回は、PHPStan静的解析をCIに導入し、継続的なコード品質の向上を目指しました。 静的解析を導入する目的コードベースが長年の拡張により巨大になった結果、全ての関数やclassの使用箇所を目視で把握するのは、厳しくなってました。いくら注視していても、対象が広くなるほど漏れは発生しやすくなります。 そのため、人間の目では見落としやすいバグを機械的に見つけることで、コード品質の向上に繋がると考えました。PHPStanをCIでレビュー前に回すことで

                          5千ファイル超のレガシープロジェクトにPHPStan継続的静的解析を導入|Komiyama Taki|note
                        • プロダクトコードの静的解析にhorusecを入れた話 - freee Developers Hub

                          この記事はfreee アドベントカレンダー16日目です。 みなさんこんにちは。PSIRTというチームでエンジニアをしているlivaです。PSIRTという聞き慣れない単語ですが「Product Security Incident Response Team」の略で、文字通りプロダクトのセキュリティにフォーカスしたチームです。元はCSIRT(Computer Security Incident Response Team)でまとめてやっていたんですが、今年の夏頃から分かれて動いています。業務内容は今までと何一つ変わっておらず、AWS触ったりGCP触ったりプロダクトチームへセキュリティ関係のことで首突っ込んだりとプロダクトのセキュリティに関することは色々やっています。 さて、今回の話題はタイトル通り「プロダクトコードの静的解析」についてです。 今まで各プロダクトごとにツールが運用されていたりいな

                            プロダクトコードの静的解析にhorusecを入れた話 - freee Developers Hub
                          • Ruby3.1 静的解析の導入で開発体験を向上させる (RBS, TypeProf)|Offers Tech Blog

                            まえがき こんにちは、Offers を運営している株式会社 overflow CTO の 大谷旅人 です。 小ネタです。 弊社では Ruby/Rails をバックエンドの開発言語として採用しており、その柔軟性は開発の大きな助けとなっている面がありつつも、コードベース全体の規模増加や保守効率を考えて環境自体の見直しや、段階的な新環境への移行も行っています。 その中で、今回は Ruby での開発体験を向上させるために行っていた、静的型解析の導入に関してのお話です。 型安全性な環境(TypeScript,Rust,etc..)から Ruby に戻ってくるとやはりあっちは機構が勝手にチェックしてくれていいぞいいぞと思うわけで、 C#が dynamic 型で静的型言語なのに動的型付していたり, Python が type hints で型検査してたりを見ると、どうにかこうにか導入したいと日々思ってい

                              Ruby3.1 静的解析の導入で開発体験を向上させる (RBS, TypeProf)|Offers Tech Blog
                            • つくってまなぶ静的解析のすすめ - LayerX エンジニアブログ

                              はじめに こんにちは、LayerXの id:convto です。 そしてこれは LayerX アドベントカレンダー (概念) の1日目の記事です。 アドベントカレンダー盛り上げていくぞ〜ということで11月から始まるらしいです。だいぶフライングしてるけど枠もかなり埋まっててすごい。 せっかくなのでお祭り参加したいぞ〜ということで一発目です。よろしくお願いします。 静的解析つくろうとしたきっかけ ちょうどつい最近記事になった下記の輪読会がきっかけでした。 tech.layerx.co.jp このなかで、mapのrange accesssについて、元mapのcopyを取らないから破壊するとループ挙動が壊れる可能性がある旨が言及されていました。 そのときは雑談で「range accessしてるmapに再代入してたら怒る!みたいな考え方で整理したら静的解析できそうっすよね〜」みたいな話をしたんですが

                                つくってまなぶ静的解析のすすめ - LayerX エンジニアブログ
                              • skeletonで始めるGoの静的解析 | メルカリエンジニアリング

                                はじめに メルペイのエキスパートチームの@tenntennです。Merpay Tech Openness Month 2022の4日目の記事です。本記事ではGoの静的解析ツールの開発を補助するskeletonというツールについて解説します。また、静的解析ツールの学習方法やGo Conferenceのメルカリブースで行うハンズオンについても触れます。 静的解析ツールとskeleton Goにおける静的解析 Goが開発された目的の1つに開発ツールの作りやすさがあります(参考1、参考2)。開発で使用するツールはソースコードを対象とした処理が必要になります。Goはソースコードを実行せずに解析する静的解析の機能を提供するgoパッケージが標準ライブラリとして用意されています。そのため、静的解析を用いたコードフォーマッタやLinterなどが作りやすい言語です。 標準ライブラリだけで構文解析をして抽象構文

                                  skeletonで始めるGoの静的解析 | メルカリエンジニアリング
                                • GitHub Actions と hadolint を組み合わせて Dockerfile の静的解析を自動化しよう! - kakakakakku blog

                                  GitHub Actions と hadolint (Haskell Dockerfile Linter) を組み合わせて,今まで雑に実装してきた Dockerfile の静的解析を自動化する環境を作った.できる限り Dockerfile Best Practices を意識していることもあり,警告はあまり多く出なかったけど,やはり CI (Continuous Integration) で気付ける安心感はある! www.docker.com hadolint (Haskell Dockerfile Linter) hadolint を使うと Dockerfile に警告を出してくれる.また Dockerfile の RUN は,シェルスクリプトの Linter として有名な ShellCheck を使って警告を出してくれる.例えば FROM centos:latest のように FROM

                                    GitHub Actions と hadolint を組み合わせて Dockerfile の静的解析を自動化しよう! - kakakakakku blog
                                  • OPA/Regoによる汎用的なGo言語の静的解析

                                    TL; DR Go言語は様々な静的解析ツールがあるが、独自ルールのチェックなどをするには都度ツールを自作する必要がある 1つのツールでより汎用的なチェックができるように、汎用ポリシー言語のRegoでGo言語のAST(抽象構文木)を検査できるようにした 「第一引数に必ずcontext.Contextをとる」というルールをCIでチェックした様子 背景 Go言語では様々な静的解析ツールが提供されており、一般的なベストプラクティスが正しく記述されているか?については既存の静的解析ツールを利用することで概ね必要なチェックをすることができます。例えばセキュアなGoのコーディングをするためのツールとして gosec などがあり、自分も愛用させてもらっています。しかし、ソフトウェア開発におけるコーディング上のルールはベストプラクティスによるものだけでなく、そのソフトウェアやチームに依存したルールというのも

                                      OPA/Regoによる汎用的なGo言語の静的解析
                                    • 「Goの静的解析ツール開発」を支える技術 - Qiita

                                      Help us understand the problem. What is going on with this article?

                                        「Goの静的解析ツール開発」を支える技術 - Qiita
                                      • 【最強のプルリクレビュー環境】 GitHub ActionsとPHPStanを繋げてPRのコード上に自動で静的解析のエラーが出てくる仕組みを作る - Qiita

                                        【最強のプルリクレビュー環境】 GitHub ActionsとPHPStanを繋げてPRのコード上に自動で静的解析のエラーが出てくる仕組みを作るPHPGitHubPHPStanGitHubActions GitHubでプルリクをレビューするとき、こんな風にコード上に勝手にエラーがあるよ!って表示されたら嬉しいなあということがあります。 わざわざCIの実行結果を見に行ってひとつひとつエラーを確認するのは面倒ですからね。 というわけで、今回は上の画像のように自動でエラーがコード上に現れて教えてくれる環境をGitHub Actionsで作りたいと思います。 大前提 PHPStanがプロジェクトに導入されている 今回はPHPStan 1.5.4を使用して検証しています PHPStanが入ってないと話が始まらないので、まずは入れておきましょう。 GitHub ActionsからPHPStanが走るよ

                                          【最強のプルリクレビュー環境】 GitHub ActionsとPHPStanを繋げてPRのコード上に自動で静的解析のエラーが出てくる仕組みを作る - Qiita
                                        • JavaScriptコードの静的解析ツール「ESLint v7.0」リリース | OSDN Magazine

                                          JavaScriptの静的コード解析ツール「ESLint」開発チームは5月8日、最新のメジャーリリース版となる「ESLint v7.0.0」を公開した。 ESLintはJavaScriptコードの問題を検出できる静的なコード解析ツールで、さまざまなテキストエディタに組み込まれている。ほとんどの問題に対して自動的なコード修正が可能で、また構文解析を行っているため、検索・置換型で発生するような誤認識などのエラーが起きないという。 ESLint v7.0は2019年6月に公開されたESLint v6.0に続くメジャーリリース。Node.jsのバージョン8系が2019年12月にサポート終了を迎えたことを受け、最新版ではそのサポートが削除された。 コードルールでは、複数のルールでbigintを認識するようにアップデートした。また、Node.js/CommonJSルール10件が非推奨となった。esli

                                            JavaScriptコードの静的解析ツール「ESLint v7.0」リリース | OSDN Magazine
                                          • 「Ruby 2」より3倍速い ~「Ruby 3.0.0」が例年通りクリスマスにリリース/パフォーマンス・並行処理・静的解析の3点を重点強化

                                              「Ruby 2」より3倍速い ~「Ruby 3.0.0」が例年通りクリスマスにリリース/パフォーマンス・並行処理・静的解析の3点を重点強化
                                            • バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12

                                              1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティなどの脆弱性調査で行う、JavaScript の静的解析と動的解析についてまとめて紹介します。 1. 始めに 免責事項 想定読者 検証環境 静的解析と動的解析 2. 静的解析 (Static Analysis) 2.1 JavaScript File の URL を収集する getJS hakrawler getallurls (gau) 2.2 エンドポイントを列挙する LinkFinder xnLinkFinder katana jsluice endext 2.3 シークレット情報を検出する SecretFinder jsluice Mantra trufflehog 2.4 潜在的な脆弱性情報を検出する Retire.js ESLint 3. 動的解析 (Dynamic Analysis) DevTool

                                                バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12
                                              • GoでGraphQLの静的解析ツールを作る

                                                はじめに Appify Technologiesでは以下のGraphQLの静的解析ツールをGoで実装しました。 Yamashou/gqlgenc - GraphQLクライアントコードの生成 gqlgo/lackid - idの指定を忘れているQueryを検出 gqlgo/nodecheck - Nodeを実装していないtypeを検出 gqlgo/deprecatedquery - deprecatedなqueryを検出 gqlgo/optionalschema - optionalなfieldをSchemaから検出 gqlgo/querystring - ソースコードの中からGraphQL Queryを抽出 忘れないうちにGraphQLの静的解析ツールの実装方法をまとめておこうと思います。 前提知識 Goの .go ファイルの静的解析ツールの作成にはanalysis を利用しますが、Gra

                                                  GoでGraphQLの静的解析ツールを作る
                                                • reviewdog🐶を飼ってGitLab-CI上で静的解析しませんか? - Qiita

                                                  はじめに レビュワーの工数削減とヒューマンエラーを防ぎコードの品質をさらに向上させていく取り組みの一環として、自動コードレビュー(静的解析) を検討しました。 そこで、reviewdogというツールを用いて実装しようとしたのですが、 reviewdogはgithub-actionsベースで開発がされているため、gitlabでの使用に関しては、ほとんど事例・記事はありませんでした。 導入まで少しだけ苦労したので、この記事がgitlab上でreviewdogの使用を想定している人に向けて参考になれば幸いです。 reviewdogとは? Go言語で記述されたOSS。 各種 linter 解析の検出結果を MR(またはPull Request) にコメントする形で指摘してくれるツール 以下のreviewdog開発者の記事を読むと概要が掴めると思います。 Reviewdog を飼ってコードレビューや

                                                    reviewdog🐶を飼ってGitLab-CI上で静的解析しませんか? - Qiita
                                                  • reviewdog で構文チェックや静的解析の結果をプルリクのレビューコメントとして出力する(GithubActions)

                                                    HomeGithubreviewdog で構文チェックや静的解析の結果をプルリクのレビューコメントとして出力する(GithubActions)

                                                      reviewdog で構文チェックや静的解析の結果をプルリクのレビューコメントとして出力する(GithubActions)
                                                    • NEC、ソースコードではなく実行ファイルの静的解析で脆弱性を検出

                                                      NECは、ソフトウエアの脆弱性をソースコードではなく実行ファイルのバイナリーコードを静的解析(動作させずに解析)することで検出する技術を開発した。検査の一部を自動化することで検査効率が40パーセント向上するという。2024年度中に同社のセキュリティーサービスへの適用を目指す。 一般的なソフトウエアの静的解析はソースコードを対象とするのに対し、この技術はソフトウエアの実行形式であるバイナリーコードに対して静的解析を実施する。ソースコードの静的解析ではビルド(ソースコードを変換して実行ファイルを生成すること)時に混入する脆弱性や不正機能の検出が難しいという課題があったが、この技術ではビルド環境に起因する問題を含めて安全性を検査できる。また従来はバイナリー形式のソフトウエアの検査は難しく検査者のスキルによって検査品質がばらつきやすかった。この技術は検査の一部を自動化するため属人性を排除でき、一定

                                                        NEC、ソースコードではなく実行ファイルの静的解析で脆弱性を検出
                                                      • Goの静的解析ツールをgolintからstaticcheckに移行した話 - Cybozu Inside Out | サイボウズエンジニアのブログ

                                                        こんにちは、@ueokandeです。 つい先日Go 1.16がリリースされましたね。 サイボウズではGoで書かれたプロダクトやツールなどが数多く存在しており、GitHubで公開しているものも多数あります。 自分の所属するYakumoチームでも、Kubernetes上にデプロイしているサービス、AWS Lambda、開発者向けのツールなどをGoで実装しています。 本日は、Goの静的解析ツールをgolintからstaticcheckに移行したお話をします。 x/lint: freeze and deprecate Goコードの静的解析ツールとして、Yakumoチームではgolintを採用していました。 golintはGoの静的解析ツールとして、長らくデファクトスタンダードとされており、サイボウズ社内でも多くのチームで利用していました。 しかしgolintの開発チームから今後はメンテナンスされな

                                                          Goの静的解析ツールをgolintからstaticcheckに移行した話 - Cybozu Inside Out | サイボウズエンジニアのブログ
                                                        • Rails: アプリケーションを静的解析で"防弾"する3つの便利ワザ(翻訳)|TechRacho by BPS株式会社

                                                          概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Few static analysis tricks to bulletproof your application | Arkency Blog 原文公開日: 2023-05-02 原著者: Piotr Jurewicz サイト: Arkency Blog 日本語タイトルは内容に即したものにしました。 静的解析とは、コードを実行せずに潜在的な問題を特定して品質を改善することです。有用な静的解析手法を導入することで、アプリケーションの信頼性を高められます。本記事では、コードベースの問題を静的解析で解決するうえで便利な手法を3つ解説します。 🔗 1: ファイル名が間違っているテストファイルを検出する 先頃、顧客のアプリケーションに含まれている未使用のコードを追いかけていたときに、明らかにパスしないRSpecテストが1つ見つかりま

                                                            Rails: アプリケーションを静的解析で"防弾"する3つの便利ワザ(翻訳)|TechRacho by BPS株式会社
                                                          • 静的解析を利用したレガシーブラウザ対応 - enechain Tech Blog

                                                            はじめに eSquare Liveのブラウザ対応要件 JavaScriptのレガシーブラウザ対応 静的解析を利用したPolyfill対応 @vitejs/plugin-legacyの利用 CSSのレガシーブラウザ対応 @mdn/browser-compat-dataの利用 browserslistの利用 ESLint Ruleへの組み込み 実際のブラウザの確認環境 まとめ はじめに この記事はenechain Advent Calendar 2024の7日目の記事になります。 こんにちは、enechainでソフトウェアエンジニアとして働いている@sue71です。現在は2024年10月9日にリリースした「eSquare Live」の開発を担当しています。 「eSquare Live」は、電力卸取引の自動取引プラットフォームであり、10月にローンチしたenechainの新規プロダクトです。現在

                                                              静的解析を利用したレガシーブラウザ対応 - enechain Tech Blog
                                                            • NEC、サプライチェーンセキュリティの強化に向け、実行ファイルの静的解析によりソフトウェアの脆弱性を検出する技術を開発

                                                              NECは、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性を、ソースコードを用いることなく実行ファイルのバイナリコード(注1)から検出する技術を開発しました。本技術により、これまで専門家による対応が必要となっていたソースコードを利用できないソフトウェアの静的解析による検査について、その一部を自動化し、検査効率を40%向上します。 近年、デジタルトランスフォーメーション(DX)やグローバル化の進展により、あらゆる業界でサプライチェーンが拡大・複雑化しています。こうした中、サプライチェーン内で混入した脆弱性や不正機能を狙ったサイバー攻撃への懸念が高まっており、サプライチェーンを通じたソフトウェアの安全性担保が喫緊の課題となっています。とりわけ行政機関や重要インフラ事業者においては、法改正等に伴い、製品やシステムの調達・導入時にバックドア等の不正機能の混入を防ぐため

                                                                NEC、サプライチェーンセキュリティの強化に向け、実行ファイルの静的解析によりソフトウェアの脆弱性を検出する技術を開発
                                                              • 【令和最新版】カスタムCop 作成 ガイド Ruby 静的解析 RuboCop コードフォーマッタ Linter【AutoCorrect: contextual対応】 - ANDPAD Tech Blog

                                                                はじめに こんにちは。姓は#LR_parser_gangs、名はydahです。最近は子が「となりのトトロ」にハマっており、毎日「となりのトトロ」がリビングで流れています。 全く飽きないのか、毎日のように「となりのトトロ観る〜?(意訳:となりのトトロが観たいのでリモコンを操作して欲しい)」と言い続け1ヶ月が経とうとしています。 これは ANDPAD Advent Calendar 2024 3日目の記事です。 今回はRubyKaigi 2024やKaigi on Rails 2024で秘蔵のesaとして配布した、RuboCopのカスタムCop作成のための資料を公開します。 カスタムCopの作成ができると、自社のコーディング規約合わせた柔軟なルールを定義し管理することができるようになります。 アップストリームに提案を送るのもよいですが、汎用的でない場合や、限定された状況でのみ有用なルールという

                                                                  【令和最新版】カスタムCop 作成 ガイド Ruby 静的解析 RuboCop コードフォーマッタ Linter【AutoCorrect: contextual対応】 - ANDPAD Tech Blog
                                                                • Goの型から静的解析でTypeScriptを生成したい

                                                                  export type Param = { action: string; created_at: string; status: "Failure" | "OK"; version: number; } というinterfaceを生成してくれるライブラリです。jsonタグを見ます。 つまるところ、OpenAPIやgRPCを利用すればGoとTypeScriptで共通の型を利用できますが、それをもっと手軽にGoの型からTypeScriptのinterfaceを生成できたら便利そうだな、というのが開発した理由です。 類似のライブラリはあったのですが型解析のために一度コンパイルし、reflectを利用した型解析をしており一時ファイルを生成していました。そのためあまり使い勝手が良くなく、また実行に時間がかかるなどの問題があったため独自で作ることにしました。 Goの静的解析 Goでは静的解析ツールを

                                                                    Goの型から静的解析でTypeScriptを生成したい
                                                                  • 静的解析で実現した効率的なi18n対応の仕組みづくり

                                                                    JSConf JP 2024 セッション資料 ▼ 内容 ・ESLintを静的解析に置き換えたら実行時間が5分の1に短縮された話 ・静的解析を活用して、非エンジニアでもUIチェックを可能にした話 ・i18nを導入しても開発効率を損なわない仕組みを構築した話 ・業界用語を学習させたGPTベース…

                                                                      静的解析で実現した効率的なi18n対応の仕組みづくり
                                                                    • 「ESLint」がJSONとMarkdownの文法チェックに対応 ~より汎用的なlinterへと進化/JavaScriptのソースコードを静的解析して文法の誤りを検出

                                                                        「ESLint」がJSONとMarkdownの文法チェックに対応 ~より汎用的なlinterへと進化/JavaScriptのソースコードを静的解析して文法の誤りを検出
                                                                      • ソースコードを静的解析するオープンソースのSourcetrailで効率よく解析 | tracpath:Works

                                                                        はじめに sourcetrailはソースの内部依存関係をグラフ等で可視化できる、オープンソースソフトウェアです。ビジュアルグラフなどを使った分かりやすい表示ができるのが特徴で、もともと商用ソフトウェアとして販売されていましたが、2019年にオープンソース化されました。今回は、sourcetrailの導入や運用方法についてのアドバイス等を説明したいと思います。 レッスン1.sourcetrailでできること まずは、sourcetrailとは何なのか、何ができるのかを学びましょう。 対応言語:C/C++、Java、Python 対応OS:Windows、Mac、Linux sourcetrail公式サイトhttps://www.sourcetrail.com/ sourcetrailでできる主な機能は以下です。 依存関係グラフ、ツリーの出力 グラフに相当するコードの表示 コードから関係するグ

                                                                          ソースコードを静的解析するオープンソースのSourcetrailで効率よく解析 | tracpath:Works
                                                                        • 【Unity】Unityプロジェクトをあらゆる観点から静的解析してくれる公式ツール『Project Auditor』の使い方まとめ - LIGHT11

                                                                          Unityプロジェクトをあらゆる観点から静的解析してくれる公式ツール『Project Auditor』の使い方をまとめました はじめに インストール 基本的な使い方 解析実行フロー ビルドレポートを見る場合 スクリプトから実行する 各解析項目の説明 Code > Diagnostics Code > Assemblies Code > C# Compiler Messages Assets > Resources Assets > Shaders Assets > Shader Variants Settings > Diagnostics Build Report > Steps Build Report > Size 参考 Unity 2021.3.0f1 Project Auditor 0.8.1-preview はじめに Project Auditor を使うと Unity プロジ

                                                                            【Unity】Unityプロジェクトをあらゆる観点から静的解析してくれる公式ツール『Project Auditor』の使い方まとめ - LIGHT11
                                                                          • Kotlinの静的解析ツールDetektを導入する (Part 1/2)

                                                                            Detekt comes with a set of plugins that helps you configure it easily in your Gradle, Maven, Bazel, ... build. Enjoy… DetektはKotlinのコード静的解析ツールになっていて、フォーマットエラーやCode smellを検出してくれるものになります。 ktlintに比べて更に細かいことをしてくれますし、コードで問題がありそうな箇所も検出してくれるの、うまく運用すると非常に強力なものになると思います。 セットアップDetektの導入はドキュメントを見ても分かりにくい部分があるので、まずは最低限の設定でやっていきます。 今回はKotlin DSLを使った例になります。 まずはDetektのGardle Pluginをプロジェクト直下の build.gradle に追加します。

                                                                              Kotlinの静的解析ツールDetektを導入する (Part 1/2)
                                                                            • Pythonの静的解析ツール"Ruff"を導入した話とおすすめの導入方法 - Qiita

                                                                              概要 最近、Pythonの静的コード解析ツールであるRuffの話題を目にするので、社内ツールにRuffを適用してみました。 その際にハマったことや、おすすめの設定/手順について記載します。 動作環境 ruff v0.255.0 Ruffとは? 以下の記事が参考になります。 社内ツールにRuffを導入 社内ツールにRuffを導入しました。 Ruffを導入する前の状態 Ruffを導入する前は、以下のツールを利用していました。 フォーマッター black(ベースとあるフォーマッター) isort(import文のソート) autoflake(unused importを削除するため) リンター mypy(型チェック) flake8(簡易的な静的解析) pylint(詳しい静的解析) Ruffを導入した後の状態 Ruffを導入した後の設定ファイルです。 導入後のコミット(いろんな修正が混ざっていま

                                                                                Pythonの静的解析ツール"Ruff"を導入した話とおすすめの導入方法 - Qiita
                                                                              • Dockerfileを正しく書けるように指摘してくれる静的解析ツール「hadolint」 - 🤖

                                                                                サイボウズ社の Docker 研修資料を見ていると Dockerfile の静的解析ツールが紹介されており、どれくらい解析するのか興味が湧いたので試してみました。 hadolint エラーを事前に検知してくれたり、よりよい Dockerfile の書き方を指摘してくれます。 Haskell で描かれており、スターは 4000 程度です。 vscode とも連携することができます。 github.com インストール # Mac $ brew install hadolint # Windows $ scoop install hadolint # Docker $ docker pull hadolint/hadolint # Build locally $ git clone https://github.com/hadolint/hadolint $ cd hadolint $ sta

                                                                                  Dockerfileを正しく書けるように指摘してくれる静的解析ツール「hadolint」 - 🤖
                                                                                • Github Actions で見る tfsec と Trivy の今 ~ Terraform 静的解析

                                                                                  # https://aquasecurity.github.io/tfsec/v1.0.11/getting-started/configuration/github-actions/pr-commenter/ name: Run tfsec PR commenter run-name: tfsec PR commenter on: pull_request: types: [synchronize, opened] jobs: tfsec: runs-on: ubuntu-latest steps: - name: Clone repo uses: actions/checkout@master - name: Terraform security scan uses: tfsec/tfsec-pr-commenter-action@main with: github_token: ${

                                                                                    Github Actions で見る tfsec と Trivy の今 ~ Terraform 静的解析

                                                                                  新着記事