公開日:2023年10月5日
独立行政法人情報処理推進機構
セキュリティセンター
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。
なお、内容に変更はありません。
2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。
なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。
「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として編集しました。
旧版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、2007年版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。
これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるようにする狙いがあります。
2007年6月28日に「Web アプリケーション編」を、2007年9月26日に「C/C++ 言語編」を公開しています。
セキュア・プログラミング講座2007年版 Webアプリケーション編
第1章 総論
第2章 アクセス制御
第3章 サイトデザインにかかわる対策
第4章 セッション対策
第5章 暴露対策
第6章 入力・注入対策
第7章 エコーバック対策
第8章 マッシュアップ
第9章 Web関連技術
第1章 1.C/C++がもたらす問題
第2章 脆弱性回避策とソフトウェア開発工程
第3章 計画されたセキュリティ機能
第4章 不測の事態対策
第5章 プログラム配置対策
第6章 フェイルセーフ
第7章 データ漏えい対策
第8章 入力検査
第9章 ファイル対策
第10章 著名な脆弱性対策
IPA セキュリティセンター
2023年4月28日
サイトリニューアルによる再構成(講座内容の更新はありません)