公開日:2010年4月16日
最終更新日:2010年8月13日
本ページの情報は2010年8月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。
このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。
この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工程への配置の観点を加えた「3回コース」のセミナ講座テキストおよび補助資料から成る。
これまでの「セキュア・プログラミング講座」の中で既に触れていることであるが、テスト工程になってから脆弱性対策を行うことは、いったん作ってしまったソフトウェアを後から修正することになり手戻りが多く、品質、コスト、納期の点において大きな不利が生じる。他の品質不良対策と同じく、脆弱性対策も開発の上流工程から着手することが重要である。
どの工程から対策に着手するのが相応しいかは脆弱性の種類によって異なる。このコンテンツでは脆弱性を次の3つのグループに分けている。
上記のようにどの対策をどの工程で行うかを決めることをはじめとして、開発の現場において脆弱性対策計画を策定する際、Webアプリケーションの脆弱性を、それぞれがもつ次のような特性の違いに着目して分類整理することをこのコンテンツでは提案している。
深刻な被害を及ぼすもの ⇔ 軽微なもの 〔優先順位にかかわる〕
アプリケーション中の多くの箇所に発生するおそれのあるもの ⇔ ごく一部の箇所にしか発生し得ないもの 〔対策漏れの警戒の必要性の高さや共通部品の効果の高さにかかわる〕
攻撃と防御の仕組みが複雑なもの ⇔ 単純なもの 〔対策を行う工程にかかわる〕
これらの観点についてはコンテンツ本体の、講座テキスト「はじめに──脆弱性の分類と開発工程」で触れている。
2010年8月13日
「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年7月9日
「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年6月11日
「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年4月16日
掲載