【知っておきたい】GitLab最新ブログのご紹介 Part12

本記事では、GitLab公式ブログで公開された「GitLabとCodeSonarで組み込みシステムのコンプライアンスを自動化」の記事を簡単にまとめて紹介させていただきます。

本記事はタイトル通りではございますが、組込みシステム開発では、品質や安全規格への準拠が欠かせないかと思います。
日本の主要産業でもある自動車、医療、産業機器などの産業では、ISO 26262、MISRA C、DO-178C、IEC 61508といった厳密な規格への適合が求められているかと思います。

しかし現場では...

• コードレビューや解析が属人的
• 後工程で問題が見つかり手戻りが発生
• 証跡の整備に膨大な工数
• コンプライアンス対応が開発スピードの足かせ

という課題を多くの組織やチームが抱えているかと思います。

今回はそんな課題に対して、GitLab公式ブログを通じて解決策を提案していますのでご紹介します。

参考：「GitLabとCodeSonarで組み込みシステムのコンプライアンスを自動化」

CodeSonarとは？

CodeSonarとは、静的解析ツールで、特に組込みシステムで広く使われています。

CodeSonarが得意とするのは

• C/C++コードの深い静的解析
• メモリ破壊、データ汚染などの重大バグの検出
• MISRAやCERT Cなどの規格適合チェック
• 複雑な制御フロー・データフローを高精度に分析

GitLabと組み合わせることで、この解析をすべてのコミット・MR単位で自動化できます。

GitLabとCodeSonarを統合すると何ができる？

公式ブログでは、GitLab CI/CDパイプライン内にCodeSonarを組み込むことで、以下のような自動フローが実現できると説明されています。

① CI/CDの一部として静的解析を自動実行

GitLab RunnerからCodeSonar Hubに解析ジョブを送信し、ビルド生成物を対象にスキャンします。

② CodeSonarレポートをSARIF形式で出力

GitLabはSARIFをネイティブに読み込めるため、解析結果を「セキュリティ検出結果」 としてMR画面に表示できます。

③ コンプライアンスルールに基づきパイプラインを自動制御

例えば：

• ISO 26262 ASIL-Dでは重大レベルの指摘は必ずブロック
• MISRA違反があればマージ不可
• 既知問題のみを許容する "ウォールリスト" 方式にも対応

これにより、安全規格に準拠したコードのみがメインブランチに入る仕組みが構築できます。

④ 証跡管理が自動化

GitLabは以下を自動で残します。

• 誰がいつコードを変更したか
• どの解析で何が検出され、誰が承認したか
• コンプライアンス違反がどのように修正されたか

これらは監査対応の負担を大きく削減します。

GitLabが提案する導入メリット

1. 組込みの安全規格に 開発スピードを犠牲にせず 対応

   従来の後工程チェックから、開発サイクルの中で常に検証する世界へ移行できます。

2. コード品質・安全性が向上

   人的レビューでは見逃しやすい欠陥も機械的に検知。

3. チーム負荷と手戻りを削減

   早期に問題が見つかることで修正コストが大幅に下がります。

4. 監査・証跡整備が自動化

   安全規格で特に重視される「正確な開発履歴管理」をGitLabが一括で実現。
   
   

感想

今回紹介されたGitLab × CodeSonar連携は、「組込み開発のコンプライアンスは負担」が大幅に下がることが期待できる内容だと感じました。

• 規格対応を追加作業ではなく、プロセスに組み込む
• MR画面に解析結果が統合されることで、レビュー効率が向上する
• 証跡が自然に蓄積されるため監査準備の工数が削減される

など、現場が持つ課題への解決策になり得る内容であったかと思います。
また、複雑な組込みシステムほど、「GitLab×CodeSonar」の組み合わせが、「解析の深さ × 自動化の仕組み」として、価値を生み出し、組込み開発チームや組織にとっては強みになると感じました。

関連リンク