JPCERT/CC ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）

　こんにちは、丸山満彦です。JPCERT/CCがソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」を公開していますね。。。
＝＝＝＝＝
セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
＝＝＝＝＝
　そのとおりどす。。。
＝＝＝＝＝
ソフトウエアあるいはシステムが提供する機能のセキュリティ品質（非機能要件としてのセキュリティ）の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類（アプリケーションドメイン）を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリストの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
＝＝＝＝＝
　なるほど。。。

　
■JPCERT/CC
・2009.06．30 ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」

●ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」（日本語版）

目次です。。。

1 序文
　1.1 セキュアデザインパターンについて
　1.2 本書の目的
　1.3 対象範囲
　1.4 形式と規則
2 アーキテクチャレベルのパターン
　2.1 Distrustful Decomposition（信頼なしの分解）
　2.2 PrivSep（Privilege Separation：特権の分離）
　2.3 Defer to Kernel（カーネルに委任）
3 設計レベルのパターン
　3.1 Secure State Machine（セキュアステートマシン）
　3.2 Secure Visitor（セキュアビジター）
4 実装レベルのパターン
　4.1 Secure Directory（セキュアディレクトリ）
　4.2 Pathname Canonicalization（パス名正規化）
　4.3 Input Validation（入力検査）
　4.4 Resource Acquisition Is Initialization（RAII：リソースの確保は初期化時に行う）
5 結論と今後の作業
　5.1 結論
　5.2 今後の作業