Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

要件定義など上流工程から脆弱性対策を支援する資料

情報処理推進機構(IPA)は、ウェブアプリケーション開発の品質保証部門向けに、上流工程からの脆弱性対策を支援する資料を公開した。

同資料では、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性について、特性に配慮した上で、上流工程から脆弱性対策へ取り組むことができるよう取りまとめた。脆弱性対策チェックリストや用語解説も用意している。

テスト工程に至ってから脆弱性対策を行った場合、コストや納期面でデメリットが多いとし、上流工程から対応すべきポイントについて収録。要件定義では「暴露対策」、設計では、「セッション」「アクセス制御」、実装では「入力対策」「エコーバック」「サイトデザイン」などの対策を盛り込んだ。

(Security NEXT - 2010/04/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

ウェブエンジニア向けにセキュア開発の学習サービス - Flatt Security
イエラエ、Orca製パブクラセキュ管理サービスを開始 - コンテナやサーバレスにも対応
IoT検索エンジン「Karma」にリスクの可視化機能
大規模環境に対応する制御システム向けIPS製品 - トレンド
GitHub、脆弱性スキャンツールを正式リリース - ベータテストで2万件を発見
CTCと日立システムズ、セキュリティ分野で協業
SISとAeye、サイトの脆弱性診断サービスの提携拡大
ペネトレーションテストサービスを開始 - BBSec
脆弱性診断サービスを刷新、最短3日のプランも - PSC
マルチクラウドとセキュリティ対策の管理プラットフォーム - TIS