ぼけ〜っと話をしていて、安全なアプリケーションを作るには、セキュアコーディングというTIPS的な方法では無くて、セキュアデベロップメントとも言うべき、要件定義から、テストまで含めた開発手法が必要なんじゃないかなぁと思った。
どうも、セキュアコーディングとなると、コーディング規約として、出力時にはサニタイズしろ(あえて言ってみるw)とか、DB操作するときにはバインドメカニズム使えとかそういったTIPS的な話になってしまう気がして、なんだかなぁと思っちゃうんだよねぇ。コーディングにしか目に行かなくて他の部分がおなざりになりそうで、ちょっとイヤンな感じなんだよなぁ。

もっと、前段階の機能や、取り扱う情報のリスク分析をした上で、どうしよう?という話とか、テスト計画とかの話もしないといけないんじゃないのかなぁ。
というわけで、セキュアデベロップメントという言葉を提言してみるテストw

(修正)
ちと語呂が悪い気がしたので、デベロップメントに修正してみた。