Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

要件定義など上流工程から脆弱性対策を支援する資料

情報処理推進機構(IPA)は、ウェブアプリケーション開発の品質保証部門向けに、上流工程からの脆弱性対策を支援する資料を公開した。

同資料では、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性について、特性に配慮した上で、上流工程から脆弱性対策へ取り組むことができるよう取りまとめた。脆弱性対策チェックリストや用語解説も用意している。

テスト工程に至ってから脆弱性対策を行った場合、コストや納期面でデメリットが多いとし、上流工程から対応すべきポイントについて収録。要件定義では「暴露対策」、設計では、「セッション」「アクセス制御」、実装では「入力対策」「エコーバック」「サイトデザイン」などの対策を盛り込んだ。

(Security NEXT - 2010/04/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

パブリッククラウドのセキュ診断サービス - イエラエ
「CloudGuard」にウェブアプリやAPI保護機能を追加 - チェック・ポイント
中小規模組織向けにエンドポイント保護製品 - カスペ
システム堅牢化やCTFなど人材育成演習サービスを拡充 - NEC
テレワークのセキュリティ評価サービス - ニュートン
AD対象のペネトレーションテストサービス - サイバートラスト
エフセキュアと加賀FEI、IoT機器のセキュ診断で協業
カスペ、APT攻撃や制御システムの脅威情報サービス - 個別調査も対応
ウェブアプリ脆弱性診断ツールにSSRF検査機能追加 - ビットフォレスト
Windows Server向け製品に新版、ネットワーク脅威対策を強化 - カスペ