新着情報

2011年 9月27日	参考資料『情報セキュリティ技術動向調査報告書』 に項目追加等
2011年 3月28日	参考資料『情報セキュリティ技術動向調査報告書』 に項目追加
2010年12月27日	「Webアプリケーション編」総論に「Webアプリケーションフレームワーク」の項を追加
2010年 7月16日	ツールプロジェクト情報（製品プログラマ向け）
2010年 4月16日	品質保証部門向けに 早めのチェック - 3工程によるセキュリティ品質確保を公開

 

Webアプリケーション開発に関わる品質保証部門向けに、脆弱性対策解説とチェックリストを用意しました。「セキュア・プログラミング講座 Webアプリケーション編」において取り上げた脆弱性対策について、各種の脆弱性の特性を考慮して工程ごとにチェックする観点を加え、「3回コース」のセミナー教材の形式に整えました。

歴代講座

参考資料

• 『情報セキュリティ技術動向調査報告書』
  • 「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」（2011年 9月）
  • 「IETFにおけるWeb 2.0 セキュリティ（Websec WG，JWT等）」（2011年 9月）
  • 「Ruby on Rails とセキュアプログラミング」（2011年 3月）
  • 「Apache Shiroアプリケーションフレームワーク」（2011年 3月）
  • 「URI のエスケープ」（2010年 3月）
  • 「Untrusted search path vulnerability」（2009年 9月）
  • 「テンポラリファイルの扱い」（2009年 3月）
  • 「Debian の openssl」（2008年 8月）
• 『オープンソース・ソフトウェアのセキュリティ確保に関する調査報告書』（2004年 3月）
  • 効率的なソースコード検査技術の調査 (282KB)
    代表的なソースコード検査ツールについて、どのようにセキュリティ脆弱性がチェックされ、どのような検査報告が行われるか等について整理しました。
  • 効率的なソースコード検査技術利用ガイド (99KB)
    代表的なソースコード検査ツールのひとつである RATS の利用法を説明しています。
  • セキュアな実行コードの生成・実行環境技術の利用ガイド (1,117KB)
    バッファオーバーフロー対策に有効な 2 つのツール（Stack Smashing Protector と Libsafe）の利用法を説明しています。
• 国際ジャーナル
  • IJSSE（International Journal of Secure Software Engineering）

上流工程における脅威分析についての参考文献

• CERT, "SQUARE - Requirements Engineering for Improved System Security"
  http://www.cert.org/sse/square.html
  • CERT, "SQUARE Instructional Materials
    http://www.cert.org/sse/square/square-description.html
• Frank Swiderski, Window Snyder, 渡部 洋子 訳，『脅威モデル ― セキュアなアプリケーション構築』，日経BP出版センター（2005）

セキュリティ脆弱性の低減に関する参考文献（製品プログラマ向け）

• CERT Secure Coding Standards
• Fred Long, Dhruv Mohindra, Robert Seacord, David Svoboda, "Java Concurrency Guidelines", CERT（2010年 6月）
• Robert C. Seacord 著, 歌代和正 監訳, JPCERTコーディネーションセンター訳， 「 C/C++ セキュアコーディング 」 ASCII．
  http://www.jpcert.or.jp/securecording_book.html
• 「AusCERT セキュアプログラミングチェックリスト」（日本語訳） (88KB)
  http://www.auscert.org.au/render.html?it=1975&cid=1920
  
• David A. Wheeler 著，高橋 聡 訳，"Secure Programming for Linux and Unix HOWTO"
  http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/index.html
• John Viega & Matt Messier 著，岩田 哲 監訳，光田 秀 訳， 「 C/C++ セキュアプログラミングクックブック VOLUME 1 」 ， オライリー・ジャパン．
  "Secure Programming Cookbook for C and C++"
  http://www.secureprogramming.com/
• Gary McGraw, John Viega, "Building Secure Software: How to Avoid Security Problems the Right Way"
  http://www.buildingsecuresoftware.com/
• Michael Howard & David LeBlanc 著，トップスタジオ訳，「WRITING SECURE CODE 」第 2 版（上）（下）マイクロソフト公式解説書，日経 BP ソフトプレス．
  http://bpstore.nikkeibp.co.jp/nsp/book/04460/04460.html
  http://www.microsoft.com/mspress/books/5957.asp
• FreeBSD「安全なプログラミングのためのガイドライン」
  http://www.freebsd.org/ja/security/#spg
• Mark G. Graff, Kenneth R. van Wyk 著、新井 悠、一瀬 小夜 訳，「セキュアプログラミング - 失敗から学ぶ設計・実装・運用・管理」， オライリー・ジャパン．
  http://www.oreilly.co.jp/BOOK/securecdng/
  "Secure Coding: Principles & Practices"，
  http://www.securecoding.org/index.php

C言語処理系

• Fail-Safe C
  http://staff.aist.go.jp/y.oiwa/FailSafeC/index-ja.html

ツールプロジェクト情報（製品プログラマ向け）

• NIST/SAMATE（ Software Assurance Metrics And Tool Evaluation）
  http://samate.nist.gov/
• CERT Secure Coding/Additional Resources
  https://www.cert.org/secure-coding/tools.html
• CERT ROSE Checker Code
  https://www.securecoding.cert.org/confluence/display/seccode/ROSE+Checker+Code

セキュリティ脆弱性の低減に関する参考文献（WEB プログラマ向け）

• OWASP Top 10 日本語訳
  https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=70827
• OWASP Guide 1.1.1 日本語訳
  https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287
• W3C, "The World Wide Web Security FAQ"（日本語版）
  http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html
• Ruby On Rails Security Guide
  http://guides.rubyonrails.org/security.html
• PHP Security（Chris Shiflett）
  http://shiflett.org/php-security.pdf

ツール（WEB プログラマ向け）

• WebProbe
  http://www.softek.co.jp/Sec/WebProbe/