■
Insecure Programing
http://community.corest.com/~gera/InsecureProgramming/
こういったバッドノウハウ的なコードをWebアプリケーションについても集めた方がいいかなぁ?欲しい人居る?いれば作ってもいいかなぁ、なんて思ったりなんかしちゃったりなんかして。それ以前にツール作れ、「絵で見るセキュアプログラミング」書けっていうのは言わないお約束でw。こんな感じであれやこれややるからダメなんだ>自分orz。
GPKI
http://www.gpki.go.jp/
とりあえず仕事で使いそうなので。
システム開発におけるセキュリティ要件
ちょっと仕事で使うので思案中。こんな感じかなぁ?
- システム管理者と一般ユーザーの区別があること
- システム管理者は、各種設定の変更、ユーザーの追加、データのバックアップ等メンテナンスに必要な機能のみ利用できる物とする
- 一般ユーザーは、通常業務で使用できる機能のみ利用できるものとする
- 一般ユーザーが利用するプログラムとシステム管理者が利用するプログラムは別であることが望ましい
- システムで使用するデータについて機密性・完全性・可用性を勘案し、必要に応じて適切な対策が採られていること
- プログラム外から渡されるデータ(ファイル・DBを含む)を利用する場合、データを利用する前に必ず許可されているデータのみで入力データが構成されていることを確認すること
- プログラム外へ処理したデータを出力する場合、データを出力する前に、必ず許可されているデータのみで出力データが構成されていることを確認すること
あと、プロセスの検証について入れるとか、結合テストでセキュリティ検査を実施するとかかなぁ?