IPA セキュア・プログラミング講座

• セキュア・プログラミング講座 （ソフトウェア開発部門向け）

  従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多くありました。しかし、作り込まれてしまった脆弱性によっては、容易には修正できないものもあります。また、たとえ修正できたとしても、不経済な事態になってしまうことになります。下流の工程において取り返しがつかないような脆弱性をもってしまわないようにするためには、上流工程（要件定義、設計）から脆弱性対策の論点を意識できるようにする必要があります。

• Webアプリケーション編（2007年 6月）
  • 早めのチェック　3工程によるセキュリティ品質確保(2010年8月)
• C/C++言語編（2007年 9月）
  
• J2EEに関する講座
  • 別冊「セキュア・プログラミング講座2」 （1.88MB）J2EE 1.3に関する講座（2003年 2月）
    （注： この版については更新を行いません。）
• セキュプログラミング講座(旧版) （2002年 2月）
  （注： この版については更新を行いません。）

• WEBプログラマコース（注： この版については更新を行いません。）
• 製品プログラマコース（注： この版については更新を行いません。）
  
  • PDFファイル一括ダウンロード （LZH 3.45MB）（注： この版については更新を行いません。）

• セミナー資料
  • 『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー資料(5.87MB)(2014年10月)
  • 『セキュア・プログラミング講座(Webアプリケーション編)』マッシュアップセミナー資料(3.82MB)(2013年12月)

• 信頼できるコンピューティングのセキュリティ開発ライフサイクル
  https://msdn.microsoft.com/ja-jp/library/ms995349.aspx
• Security Development Lifecycle
  https://www.microsoft.com/en-us/sdl/

• CERT, "SQUARE - Requirements Engineering for Improved System Security"
  http://www.cert.org/sse/square.html
  • CERT, "SQUARE Instructional Materials"
    http://www.cert.org/sse/square/square-description.html
• Frank Swiderski, Window Snyder, 渡部 洋子 訳,『脅威モデル ― セキュアなアプリケーション構築』,日経BP出版センター（2005年 6月：絶版）

• CERT Secure Coding Standards
• Fred Long,Dhruv Mohindra,Robert Seacord,David Svoboda, "Java Concurrency Guidelines" , CERT（2010年 6月）
• JPCERTコーディネーションセンター, 「セキュアコーディング 」
  http://www.jpcert.or.jp/securecoding.html
• 「AusCERT セキュアプログラミングチェックリスト」（日本語訳） (88KB)
  原文：AusCERT, "Secure Unix Programming Checklist"
  
• Brian Chess, Jacob West, "Secure Programming with Static Analysis", Addison-Wesley Professional (July 2007)
• Michael Howard & David LeBlanc 著,トップスタジオ訳, 「WRITING SECURE CODE 」第 2 版（上）,（下）マイクロソフト公式解説書,日経 BP ソフトプレス（2004年12月）
  https://www.microsoft.com/mspress/books/5612.aspx
• FreeBSD「安全なプログラミングのためのガイドライン」
  http://freebsd.mk.ua/ja/security/#spg
• David A. Wheeler 著,高橋 聡 訳,"Secure Programming for Linux and Unix HOWTO"日本語訳
  原文："Secure Programming for Linux and Unix HOWTO"
• David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,『実践 Metasploit - ペネトレーションテストによる脆弱性評価』,オライリー・ジャパン（2012年 5月）
• Mark G. Graff, Kenneth R. van Wyk,『セキュアプログラミング - 失敗から学ぶ設計・実装・運用・管理』, オライリー・ジャパン（2004年 4月：絶版）
  http://www.oreilly.co.jp/BOOK/securecdng/
  原書："Secure Coding: Principles & Practices", http://www.securecoding.org/index.php
• Gary McGraw, John Viega, 『Building Secure Software』,オーム社（2006）
  原書："Building Secure Software: How to Avoid Security Problems the Right Way"(September 2001: Out of Stock)
• 「Androidアプリのセキュア設計・セキュアコーディングガイド」,一般社団法人 日本スマートフォンセキュリティ協会（2014年 7月）
  

• NIST/SAMATE（ Software Assurance Metrics And Tool Evaluation）
  http://samate.nist.gov/
• CERT Secure Coding/Additional Resources
  https://www.cert.org/secure-coding/tools.html
• CERT ROSE Checker Code
  https://www.cert.org/secure-coding/tools/rosecheckers.cfm?

参考文献

• JPCERT/CC,「Javaセキュアコーディング入門」,CodeZine．
• JPCERT/CC,「Java セキュアコーディングスタンダード CERT/Oracle 版」
• Fred Long , Dhruv Mohindra, Robert C. Seacord, Dean F. Sutherland, David Svoboda, 歌代和正 (監修), 久保正樹 (訳), 戸田洋三 (訳), 『Javaセキュアコーディングスタンダード CERT/ Oracle版』, アスキー・メディアワークス (2012年 1月)

処理系

• Fail-Safe C
  http://staff.aist.go.jp/y.oiwa/FailSafeC/index-ja.html

参考文献

• Robert C. Seacord 著, 歌代和正,久保正樹,椎木孝斉 翻訳, 『C/C++セキュアコーディング 第2版』, KADOKAWA/アスキー・メディアワークス （2014年 9月）
  原書： Robert C. Seacord, Secure Coding in C and C++, Second Edition , Addison-Wesley Professional (2013)
• JPCERT/CC, 「C/C++ セキュアコーディングセミナー資料」
• John Viega & Matt Messier,『C/C++ セキュアプログラミングクックブック VOLUME 1』, オライリー・ジャパン（2004年 9月：絶版）
  原書： "Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More", O'REILLY (2003)
• ISO/IEC TR24731-1,Information Technology - Programming languages, their environments and system software interfaces - Extensions to the C Library, - Part I: Bounds-checking interfaces -

参考文献

• OWASP Top 10 日本語版
  https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
• Paco Hope, Ben Walther, "Web Security Testing Cookbook", O'Reilly (2008)
• W3C, "The World Wide Web Security FAQ"（日本語版）
  http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html
• Ruby On Rails Security Guide
  http://guides.rubyonrails.org/security.html
• PHP Security（Chris Shiflett）
  http://shiflett.org/php-security.pdf

• WebProbe
  http://www.softek.co.jp/SSG/products/wp/wp.html
• Fiddler
  https://www.telerik.com/download/fiddler
• Burp Proxy
  https://portswigger.net/burp/proxy.html
• OWASP ZAP
  https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
• Charles Web Debugging Proxy
  http://www.charlesproxy.com/