HOME >> 情報セキュリティ >> セキュリティエンジニアリング >> セキュリティ脆弱性の低減
セキュア・プログラミング講座
最終更新日 2013年 2月26日
独立行政法人 情報処理推進機構
技術本部 セキュリティセンター
新着情報
| 2013年 2月26日 | 本ページの参考文献を再編 |
| 2013年 2月 7日 | 「C/C++言語編」の「エラーハンドリング」の節を更新 |
| 2012年11月30日 | 「Webアプリケーション編」の「マッシュアップ」関連の節を更新 |
| 2012年 5月25日 | 参考資料 セキュリティ脆弱性の低減に関する参考文献(製品プログラマ向け)を更新 |
| 2012年 5月 2日 | 参考資料 セキュリティ脆弱性の低減に関する参考文献(製品プログラマ向け)を更新 |
| 2012年 3月16日 | 「Webアプリケーション編」に「マッシュアップにおけるセキュアプログラミング」関連の節を追加 |
| 2011年 9月27日 | 参考資料『情報セキュリティ技術動向調査報告書』 に項目追加等 |
| 2011年 3月28日 | 参考資料『情報セキュリティ技術動向調査報告書』 に項目追加 |
| 2010年12月27日 | 「Webアプリケーション編」総論に「Webアプリケーションフレームワーク」の項を追加 |
| 2010年 7月16日 | ツールプロジェクト情報(製品プログラマ向け) |
| 2010年
4月16日 |
品質保証部門向けに 早めのチェック - 3工程によるセキュリティ品質確保 を公開 |
Webアプリケーション開発に関わる品質保証部門向けに、脆弱性対策解説とチェックリストを用意しました。「セキュア・プログラミング講座 Webアプリケーション編」において取り上げた脆弱性対策について、各種の脆弱性の特性を考慮して工程ごとにチェックする観点を加え、「3回コース」のセミナー教材の形式に整えました。
歴代講座
- セキュア・プログラミング講座 (ソフトウェア開発部門向け)
従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多くありました。しかし、作り込まれてしまった脆弱性によっては、容易には修正できないものもあります。また、たとえ修正できたとしても、不経済な事態になってしまうことになります。下流の工程において取り返しがつかないような脆弱性をもってしまわないようにするためには、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるようにする必要があります。 - J2EEに関する講座
- 別冊「セキュア・プログラミング講座2」
(1.88MB)J2EE に関する講座(2003年 2月)
- 別冊「セキュア・プログラミング講座2」
- セキュプログラミング講座(旧版) (2002年 2月)
- WEBプログラマコース
- 製品プログラマコース
- PDFファイル一括ダウンロード (LZH 3.45MB)
- PDFファイル一括ダウンロード
参考資料
- 『情報セキュリティ技術動向調査報告書』
- 「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」(2011年 9月)
- 「IETFにおけるWeb 2.0 セキュリティ(Websec WG,JWT等)」(2011年 9月)
- 「Ruby on Rails とセキュアプログラミング」(2011年 3月)
- 「Apache Shiroアプリケーションフレームワーク」(2011年 3月)
- 「URI のエスケープ」(2010年 3月)
- 「Untrusted search path vulnerability」(2009年 9月)
- 「テンポラリファイルの扱い」(2009年 3月)
- 「Debian の openssl」(2008年 8月)
- 『オープンソース・ソフトウェアのセキュリティ確保に関する調査報告書』(2004年 3月)
- 効率的なソースコード検査技術の調査 (282KB)
代表的なソースコード検査ツールについて、どのようにセキュリティ脆弱性がチェックされ、どのような検査報告が行われるか等について整理しました。 - 効率的なソースコード検査技術利用ガイド (99KB)
代表的なソースコード検査ツールのひとつである RATS の利用法を説明しています。 - セキュアな実行コードの生成・実行環境技術の利用ガイド (1,117KB)
バッファオーバーフロー対策に有効な 2 つのツール(Stack Smashing Protector と Libsafe)の利用法を説明しています。
- 効率的なソースコード検査技術の調査
- 国際ジャーナル
上流工程における脅威分析についての参考文献
- CERT, "SQUARE - Requirements Engineering for Improved System Security"
http://www.cert.org/sse/square.html- CERT, "SQUARE Instructional Materials
http://www.cert.org/sse/square/square-description.html
- CERT, "SQUARE Instructional Materials
- Frank Swiderski, Window Snyder, 渡部 洋子 訳,『脅威モデル ― セキュアなアプリケーション構築』,日経BP出版センター(2005:絶版)
セキュリティ脆弱性の低減に関する参考文献(製品プログラマ向け)
- CERT Secure Coding Standards
- Fred Long,
Dhruv Mohindra,
Robert Seacord,
David Svoboda, "Java Concurrency Guidelines", CERT(2010年 6月)
- JPCERTコーディネーションセンター, 「セキュアコーディング 」
http://www.jpcert.or.jp/securecoding.html - 「AusCERT セキュアプログラミングチェックリスト」(日本語訳) (88KB)
原文:AusCERT, "Secure Unix Programming Checklist"
- Brian Chess, Jacob West, "Secure Programming with Static Analysis", Addison-Wesley Professional (July 2007)
- Michael Howard & David LeBlanc 著,トップスタジオ訳,「WRITING
SECURE CODE 」第 2 版(上)(下)マイクロソフト公式解説書,日経 BP ソフトプレス(2004年12月)
http://www.microsoft.com/mspress/books/5957.asp - FreeBSD「安全なプログラミングのためのガイドライン」
http://www.freebsd.org/ja/security/#spg - David
A. Wheeler 著,高橋 聡 訳,"Secure Programming
for Linux and Unix HOWTO"日本語訳
原文: "Secure Programming for Linux and Unix HOWTO" - David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,『実践 Metasploit - ペネトレーションテストによる脆弱性評価』,オライリー・ジャパン(2012年 5月)
- Mark G. Graff,
Kenneth R. van Wyk,『セキュアプログラミング - 失敗から学ぶ設計・実装・運用・管理』,
オライリー・ジャパン(2004年 4月:絶版)
http://www.oreilly.co.jp/BOOK/securecdng/
原書:"Secure Coding: Principles & Practices",
http://www.securecoding.org/index.php - Gary McGraw, John Viega, 『Building Secure Software』,オーム社(2006)
原書:"Building Secure Software: How to Avoid Security Problems the Right Way"(September 2001: Out of Stock)
ツールプロジェクト情報(製品プログラマ向け)
- NIST/SAMATE( Software Assurance Metrics And Tool Evaluation)
http://samate.nist.gov/ - CERT Secure Coding/Additional Resources
https://www.cert.org/secure-coding/tools.html - CERT ROSE Checker Code
https://www.securecoding.cert.org/confluence/display/seccode/ROSE+Checker+Code
Java言語関連
参考文献
- JPCERT/CC,「Javaセキュアコーディング入門」,CodeZine.
- JPCERT/CC,「Java セキュアコーディングスタンダード CERT/Oracle 版」
- Fred Long , Dhruv Mohindra, Robert C. Seacord, Dean F. Sutherland, David Svoboda, 歌代和正 (監修), 久保正樹 (訳), 戸田洋三 (訳), 『Javaセキュアコーディングスタンダード CERT/ Oracle版』, アスキー・メディアワークス (2012)
C/C++言語関連
処理系
参考文献
- JPCERT/CC, 「C/C++ セキュアコーディングセミナー資料」
- John Viega
& Matt Messier,『C/C++ セキュアプログラミングクックブック VOLUME 1』,
オライリー・ジャパン(2004年 9月:絶版)
原書: "Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More", O'REILLY (2003) - ISO/IEC TR24731-1,Information Technology -
Programming languages, their environments and system software interfaces - Extensions to the C Library, - Part I: Bounds-checking interfaces -
Web アプリケーション関連
参考文献
- OWASP Top
10 日本語訳
https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=70827 - OWASP Guide
1.1.1 日本語訳
https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287 - W3C, "The World Wide Web Security FAQ"(日本語版)
http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html - Ruby On Rails Security Guide
http://guides.rubyonrails.org/security.html - PHP Security(Chris Shiflett)
http://shiflett.org/php-security.pdf
- WebProbe
http://www.softek.co.jp/Sec/WebProbe/ - PAROS
http://www.parosproxy.org/ - Fiddler
http://www.fiddler2.com/fiddler2/ - Burp Proxy
http://portswigger.net/burp/proxy.html - OWASP WebScarab
https://www.owasp.org/index.php/WebScarab - Charles Web Debugging Proxy
http://www.charlesproxy.com/