とまぁ、要件に対するチェック方法として、自動検査ツールを使うと言うのは一つの解だと思う。しかし、現状の検査ツール（商用、フリー問わず）で全ての脆弱性が見つけられるわけではない。とはいえ、非常に簡単なボットなどで利用されるような脆弱性はある…

http://脆弱性診断.jp/specifications/index.html 発注側のセキュリティ要件書。 ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが･･･ あと、コレを見てどれくらいの人が理解して使うこと…

いろいろつぶやいていたら、某氏にBlogに書けといわれそうなのでｗ 設計や仕様レベルの脆弱性（CSRFとか、Amazonのウィッシュリストのように悪用できる仕様とか）では、リスク分析やセキュリティ対策を考えなけれならない。これは、コーディングでどうにかす…

http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis 詳細を見ておく

ヤクがないと生活できないorz