Black Duckは、静的アプリケーションセキュリティテスト(SAST)ツール「Coverity」に、AI駆動型かつコンプライアンス重視の一連のアップデートを展開しました。創業から20年を迎えるこの製品を、AI支援によるコーディングの台頭と欧州における規制強化の両方に対応させる狙いがあります。
今回のリリースは、AI活用機能がCoverityに搭載される初めての事例となります。Black Duckは、この新機能がベンダーがホストするサービスではなく、顧客自身が選択した大規模言語モデル(LLM)に対して実行できる点を強調しました。同社によれば、これはセキュリティチームや開発チームがコードとスキャンデータの処理場所を管理できるようにするための設計であり、規制の厳しい業界や厳格なデータガバナンス要件を持つ組織にとって特に重要なポイントだとしています。
誤検知の削減を狙ったAI機能
今回の追加機能の中心となるのが、AI支援による問題トリアージ機能です。Black Duckによれば、この機能はC言語およびC++における検出結果の誤検知を減らすよう調整されており、これらの言語で作業するチームにとって長年の悩みの種であった課題に対応するとともに、Coverityがサポートするその他の言語全般でもトリアージの精度を向上させるとしています。
Coverityには、Model Context Protocol(MCP)サーバーも新たに追加されました。これにより、AIコーディングエージェントがローカルでCoverityのスキャンを実行し、セキュリティおよび品質に関する検出結果を直接自らのワークフローに取り込めるようになります。Black Duckの狙いは、エージェント型ツールが、コードの安全性についてモデル自身の確率的な判断のみに頼るのではなく、決定論的で再現性のあるスキャン結果に基づいて動作できるようにすることです。
新たなチェッカーでは、JavaScriptおよびTypeScriptのコードベースにおける安全でない直接オブジェクト参照(IDOR)の欠陥をAIによって検出する機能が追加されました。IDOR脆弱性は、ユーザーID、データベースキー、ファイル名といった内部識別子を、リクエスト元にアクセス権限があるかどうか適切に確認しないままアプリケーションが公開してしまうことで発生します。これはAPI関連の情報漏えい事例で頻繁に取り上げられてきたバグの一種です。
EUサイバーレジリエンス法への対応
EUサイバーレジリエンス法(Cyber Resilience Act)に基づく報告期限が迫る中、Black Duckは今回のアップデートで2つのコンプライアンス重視機能を導入しました。新たに追加された「Security Impact Lens」は、セキュリティ上の優先度に基づいて検出結果を並べ替え、絞り込むことができる機能で、Coverityがこれまでコード品質の問題に適用してきたような優先順位付けを、セキュリティトリアージにももたらします。これに加え、CRA対応チェッカーオプションも用意されており、スキャン結果を同規制で定められた脆弱性管理およびサイバーセキュリティ義務により直接的にマッピングすることを目的としています。
今回のアップデートでは、対応言語もRust 1.92まで拡張されたほか、ナビゲーションと検出結果のフィルタリングを刷新した新しいユーザーインターフェースも導入されました。Black Duckによれば、これは大量の検出結果を処理するチームのトリアージ作業を高速化することを目的としているとのことです。
「Coverityは20年以上にわたり静的解析のゴールドスタンダードを確立してきました。今回、その決定論的な精度とAIのスピードを組み合わせることで、私たちはさらに水準を引き上げ、最新のソフトウェア開発が向かう方向に合わせて顧客に応えていきます」と、Black DuckのChief Product & Technology OfficerであるDipto Chakravarty氏は述べています。
「今日、コードはエージェントによって書かれ、レビューされ、出荷されています。ビジネスが優位性を保つためには、機械並みの速度で動かなければなりません」とChakravarty氏は付け加え、今回のアップデートは監査可能性を犠牲にすることなくAI駆動型トリアージを実現し、MCPサーバーによるエージェント型ワークフローとの統合を可能にし、CRA対応を「理想論ではなく、実際に運用できるもの」にするツールを提供すると主張しています。
Black Duckによれば、これらの新機能はすべて、既存のCoverity顧客に向けて現在一般提供が開始されており、この製品の基盤である決定論的で監査可能なスキャン機能に変更を加えることなく、AI活用機能を利用できるようになるとのことです。詳細については、Coverity Documentation Portalで確認できます。