IPAセキュア・プログラミング講座

2016年10月版

2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。
なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。

• セキュア・プログラミング講座(2016年10月版／2017年6月一部修正)(PDF:2.3 MB)

2007年版

「ソースコード検査技術の脆弱性検出能力向上のための研究」（注釈1）を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座（旧版）の改訂版（2007年版）として編集しました。

旧版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、2007年版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。
これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程（要件定義、設計）から脆弱性対策の論点を意識できるようにする狙いがあります。

2007年6月28日に「Web アプリケーション編」を、2007年9月26日に「C/C++ 言語編」を公開しています。

• セキュア・プログラミング講座2007年版 Webアプリケーション編

  第1章 総論
  第2章 アクセス制御
  第3章 サイトデザインにかかわる対策
  第4章 セッション対策
  第5章 暴露対策
  第6章 入力・注入対策
  第7章 エコーバック対策
  第8章 マッシュアップ
  第9章 Web関連技術
  

• セキュア・プログラミング講座2007年版 C/C++言語編

  第1章 1.C/C++がもたらす問題
  第2章 脆弱性回避策とソフトウェア開発工程
  第3章 計画されたセキュリティ機能
  第4章 不測の事態対策
  第5章 プログラム配置対策
  第6章 フェイルセーフ
  第7章 データ漏えい対策
  第8章 入力検査
  第9章 ファイル対策
  第10章 著名な脆弱性対策
  

• セキュア・プログラミング講座のねらい

• 関連資料、参考文献ほか

1. （注釈1）
   文部科学省の科学技術振興調整費財源による「重要課題解決型研究等の推進」公募の課題「セキュリティ情報の分析と共有システムの開発」に採択され、実施しました。（代表者：徳田英幸（慶應義塾大学））