情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問22: アジャイル開発のプロジェクトで,ソースコードの品質を向上させるために,バグ,コードの重複,脆弱性につながるコードを自動で検出することができる OSS のツールを
←情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ
のプロジェクトで,ソースコードの品質を向上させるために,バグ,コードの重複,脆弱性につながるコードを自動で検出することができる のツールを導入したい。導入する OSS として,最も適切なものはどれか。
問題本文
アジャイル開発のプロジェクトで,ソースコードの品質を向上させるために,バグ,コードの重複,脆弱性につながるコードを自動で検出することができる OSS のツールを導入したい。導入する OSS として,最も適切なものはどれか。
選択肢
- ア.Git
- イ.Jenkins
- ウ.Snort
- エ.SonarQube
解説
SonarQubeは、ソースコードを静的解析してバグ、コードの重複、脆弱性(SAST的検出)などの品質課題を自動検出するOSS。CI/CDに組み込めば継続的にコード品質を可視化できる。エが用途に合致し正解。実務ではセキュアコーディングの徹底やDevSecOpsの一環として、開発工程の早い段階で脆弱性を発見する手段として用いられる。
選択肢ごとの解説
- ア.Gitはバージョン管理システムであり、コードの静的解析・脆弱性検出は行わないため誤り。
- イ.JenkinsはCI/CDの自動化ツールで、品質解析自体を行うものではないため最適ではない。
- ウ.Snortはネットワーク侵入検知システムであり、ソースコード解析ツールではないため誤り。
- エ.バグ・重複・脆弱性を静的解析で自動検出するコード品質ツールであり、用途に合致し正解。
情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ の過去問一覧へ戻る・問22