はじめに
RFPを作成する際、セキュリティを考慮する必要があるが、何をすれば、何を書けばいいのかわからないということが多いように思われる。OWASPでも公開(https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf)されているのだけど、何となく今一なので、ちょっと考えてみる。
開発工程において、それぞれセキュリティを考慮しなければ行けないと思う。そこで、開発工程毎に考慮すべきこと、そのために必要な資料、成果物を考えて、それらを行ってもらえるようにRFPを書けばいいかと思うのだけどどうだろうか?
と言うわけで、開発工程を以下のように分けて、次回以降、開発工程毎に要求することを考えてみる。
- 要件定義
- 設計
- コーディング
- テスト
- 運用