http://脆弱性診断.jp/specifications/index.html
発注側のセキュリティ要件書。
ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが･･･
あと、コレを見てどれくらいの人が理解して使うことができるか？ではないかなぁ？
やっぱり、各機能ごとにこういうことを考えてね見たいなテンプレートのほうがいい気がするなぁ。
例えば、ログイン機能はパスワード8文字以上にするとか、検索機能では「'」を含む文字列を正しく検索できるとか、決済機能では意図しない決済が行えないようにとか････
こういうパターンを幾つか作っておいて、それを選択するような感じのほうがいいのではないか？と思ってしまう。