関連資料、参考文献ほか

本ページの情報は2016年10月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。

セミナー等資料

• 早めのチェック 3工程によるセキュリティ品質確保(2010年8月)
• 「セキュア・プログラミング講座(Webアプリケーション編)」ブートアップセミナー資料(PDF:5.9 MB)
• 「セキュア・プログラミング講座(Webアプリケーション編)」マッシュアップセミナー資料(PDF:3.9 MB)

情報セキュリティ技術動向調査報告書

• 「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」（2011年 9月）
• 「IETFにおけるWeb 2.0 セキュリティ（Websec WG,JWT等）」（2011年 9月）
• 「Ruby on Rails とセキュアプログラミング」（2011年 3月）
• 「Apache Shiroアプリケーションフレームワーク」（2011年 3月）
• 「URI のエスケープ」（2010年 3月）
• 「Untrusted search path vulnerability」（2009年 9月）
• 「テンポラリファイルの扱い」（2009年 3月）
• 「Debian の openssl」（2008年 8月）

「オープンソース・ソフトウェアのセキュリティ確保に関する調査報告書」（2004年 3月）

• オープンソース・ソフトウェアの効率的な検査技術の調査(PDF:340 KB)
  • 代表的なソースコード検査ツールについて、どのようにセキュリティ脆弱性がチェックされ、どのような検査報告が行われるか等について整理しました。
• セキュアな実行コードの生成・実行環境技術に関する調査(PDF:1.5 MB)
  • バッファオーバーフロー対策に有効な 2 つのツール（Stack Smashing Protector と Libsafe）の利用法を説明しています。
• オープンソース・ソフトウェアの効率的な検査技術の利用ガイド(PDF:95 KB)
  • 代表的なソースコード検査ツールのひとつである RATS の利用法を説明しています。

国際ジャーナル

• IJSSE（International Journal of Secure Software Engineering）

参考文献ほか

開発工程全体にわたるセキュリティについての参考文献

• 信頼できるコンピューティングのセキュリティ開発ライフサイクル
• Security Development Lifecycle

上流工程における脅威分析についての参考文献

• CERT, "SQUARE"
• CERT, "SQUARE Instructional Materials"
• Frank Swiderski, Window Snyder, 渡部 洋子 訳,『脅威モデル — セキュアなアプリケーション構築』,日経BP出版センター（2005年 6月：絶版）

セキュリティ脆弱性の低減に関する参考文献（製品プログラマ向け）

• CERT Secure Coding Standards
• Fred Long,Dhruv Mohindra,Robert Seacord,David Svoboda,"Java Concurrency Guidelines",CERT（2010年 6月）
• JPCERTコーディネーションセンター, 「セキュアコーディング 」
• 「AusCERT セキュアプログラミングチェックリスト」（日本語訳）(PDF:88 KB)
  • 原文：AusCERT, "Secure Unix Programming Checklist"
• Brian Chess, Jacob West, "Secure Programming with Static Analysis", Addison-Wesley Professional (July 2007)
• Michael Howard & David LeBlanc 著,トップスタジオ訳, 「WRITING SECURE CODE 」第 2 版（上）,（下）マイクロソフト公式解説書,日経 BP ソフトプレス（2004年12月）
• FreeBSD セキュリティ情報
• David A. Wheeler 著,高橋 聡 訳, "Secure Programming for Linux and Unix HOWTO"日本語訳
  • 原文："Secure Programming for Linux and Unix HOWTO"
• David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni, 『実践 Metasploit - ペネトレーションテストによる脆弱性評価』,オライリー・ジャパン（2012年 5月）
• Mark G. Graff
  原書："Secure Coding: Principles & Practices",O’Reilly(2003/6)
  日本語訳:"セキュアプログラミング—失敗から学ぶ設計・実装・運用・管理 ",オライリージャパン (2004/04)
• Gary McGraw, John Viega, 『Building Secure Software』,オーム社（2006：絶版）
  原書："Building Secure Software: How to Avoid Security Problems the Right Way"(September 2001: Out of Stock)
• 「Androidアプリのセキュア設計・セキュアコーディングガイド」,一般社団法人 日本スマートフォンセキュリティ協会

ツールプロジェクト情報（製品プログラマ向け）

• NIST/SAMATE（ Software Assurance Metrics And Tool Evaluation）
• CERT Secure Coding/Additional Resources
• CERT ROSE Checker Code

Java言語関連

• JPCERT/CC,「Javaセキュアコーディング入門」,CodeZine．
• JPCERT/CC,「Java セキュアコーディングスタンダード CERT/Oracle 版」
• Fred Long , Dhruv Mohindra, Robert C. Seacord, Dean F. Sutherland, David Svoboda, 歌代和正 (監修), 久保正樹 (訳), 戸田洋三 (訳), 『Javaセキュアコーディングスタンダード CERT/ Oracle版』, アスキー・メディアワークス (2012年 1月)

C/C++言語関連

処理系

• Fail-Safe C

参考文献

• Robert C. Seacord 著, 歌代和正,久保正樹,椎木孝斉 翻訳, 『C/C++セキュアコーディング 第2版』, KADOKAWA/アスキー・メディアワークス （2014年 9月）
  • 原書： Robert C. Seacord, Secure Coding in C and C++, Second Edition , Addison-Wesley Professional (2013)
• JPCERT/CC, 「C/C++ セキュアコーディングセミナー資料」
• John Viega & Matt Messier,『C/C++ セキュアプログラミングクックブック VOLUME 1』, オライリー・ジャパン（2004年 9月：絶版）
  • 原書： "Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More" O'REILLY (2003)
• ISO/IEC TR24731-1,Information Technology - Programming languages, their environments and system software interfaces - Extensions to the C Library, - Part I: Bounds-checking interfaces -

Web アプリケーション関連

ツール

• WebProbe
• Fiddler

参考文献

• OWASP Top 10 日本語版
• Paco Hope, Ben Walther, "Web Security Testing Cookbook", O'Reilly (2008)
• W3C, "The World Wide Web Security FAQ"（日本語版）
• Ruby On Rails Security Guide
• PHP Security（Chris Shiflett）
  原書："Essential PHP Security: A Guide to Building Secure Web Applications",O'Reilly(2005/10)
  日本語訳："入門PHPセキュリティ",オライリージャパン (2006/5)