徳丸さんの話のTsudaり。
第2回東北セキュリティ勉強会
「セキュア開発プロセスとウェブ健康診断仕様の応用」
ハッシュコンサルティング 徳丸 浩さん
HID
@shidho
漠然としたものでは難しいし、用語を列挙した場合質の維持が難しい。具体的対策で書けば開発が難しくなる(=コスト増)の可能性がある。あとは検収方法指定で考えるか。
2009-11-14 13:54:30
HID
@shidho
提案は、基本はベンダーに提案させる。それでセキュアにできる根拠をつけさせる。納品物にセキュリティ検査結果を添付してもらう。さらに、一部検査については発注側も実施して確かめる。
2009-11-14 13:56:46
HID
@shidho
セキュリティ機能とセキュリティバグは分けて考える。開発標準を整備し、メンバーへの教育を徹底する。レビューとテストはコスト要因だが、計画的に行うようリソースを確保する。
2009-11-14 14:12:36
HID
@shidho
OSコマンドインジェクションやパストラバーサル、SQLインジェクションはソースコード検査でやる。(SQLインジェクションは開発標準に工夫がいる)
2009-11-14 15:06:12