http://www.hash-c.co.jp/d/20080615.html
確かに、要件としてセキュリティが挙げられていないと無理だろうなぁ。
でも、SQLインジェクションやXSSを正常に動いていないバグとして考えると特にセキュリティ要件として入れなくてもいいような気がするんだけど、どうなんだろう？
ここで、何を正常とするか？という定義が問題になるとは思うけど、どんなデータを渡されても、仕様に定義された動作しかしないということとすれば、いいんじゃないか？これだとあいまいすぎて抜け道があるか・・・
かといってセキュリティ要件ってどういったことを書けばよいかさじ加減が難しい。