ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2007-06-26 血の池地獄

[]セキュアデベロップメント セキュアデベロップメントを含むブックマーク セキュアデベロップメントのブックマークコメント

ぼけ〜っと話をしていて、安全なアプリケーションを作るには、セキュアコーディングというTIPS的な方法では無くて、セキュアデベロップメントとも言うべき、要件定義から、テストまで含めた開発手法が必要なんじゃないかなぁと思った。

どうも、セキュアコーディングとなると、コーディング規約として、出力時にはサニタイズしろ(あえて言ってみるw)とか、DB操作するときにはバインメカニズム使えとかそういったTIPS的な話になってしまう気がして、なんだかなぁと思っちゃうんだよねぇ。コーディングにしか目に行かなくて他の部分がおなざりになりそうで、ちょっとイヤンな感じなんだよなぁ。

もっと、前段階の機能や、取り扱う情報リスク分析をした上で、どうしよう?という話とか、テスト計画とかの話もしないといけないんじゃないのかなぁ。

というわけで、セキュアデベロップメントという言葉を提言してみるテストw

(修正)

ちと語呂が悪い気がしたので、デベロップメントに修正してみた。

sen-usen-u 2007/06/26 22:49 今度のまっちゃでそういう話しをする予定ですー。TIPS的な理想論は一定レベル以上にしか効果がないので。

ikepyonikepyon 2007/06/27 10:51 TIPSはTIPSでしかないので、特殊な場合や新たな手法が発見、開発されたら対応できなくなるんですよねぇ。
次回まっちゃ楽しみです。

hasegawayosukehasegawayosuke 2007/06/27 10:53 TIPSを否定するTIPさん…(寒っ

ya_taya_ta 2007/06/27 11:37 >はっぱさめ
TIPタソは「俺はユニークであって複数存在しない!」からTIPSを否定してるんですよ
#無理矢理「非スルー力」発動

sen-usen-u 2007/06/27 18:23 TIPは一人で十分だ。w

トラックバック - http://d.hatena.ne.jp/ikepyon/20070626

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |