2006年01月27日

セキュアプログラミングのキモ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日はカバンが重くなるので問題集は持ち出さず、IPAの「セキュアプログラミング講座」を久々にやる。OSの対策は後回しにして、第10章、最終章の「より堅固なソフトウェア構築」である。

http://www.ipa.go.jp/security/awareness/vendor/programming/b10.html

この章、セキュアプログラミングの最も本質的な部分を語っている。テクニカルな部分は別の章になるが、「まず、ここを押さえろ」という内容だ。ポイントはふたつ

1.モジュール間のデータの受け渡し「インタフェース」のリスクに注目する
2.ソースコードは安全性の検証されたものを再利用するのが基本

インタフェースは、データの露出や意図しないデータの混入、強力な処理エンジンの副作用の危険性がある。具体的な例をあげると、URLによるデータの受け渡しや、SQL文へのパラメータの引継ぎ、open文、system関数などの取り扱い、などである。既にこれらは、他の章で詳しく解説されている。

また、ソースコードを新たに作成することは、軽く考えてはいけない、と。新たなコードはバグが混入するリスクが極めて高い。レビューは、開発者の視点での確認だけでなく、セキュアな視点での確認、バグ出しが必須である。できれば、優秀なプログラマによる安全で汎用的なモジュールを作成し、充分な検証の後、ライブラリに登録すると良い。

1.と2.は、それぞれ、データに関する脆弱性とプログラミングに関する脆弱性に関わる問題だ。受験対策として言うなら、ここの部分が与件にあれば、「要注意」ということになるのだ。
posted by tamaso at 23:24| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/12374559

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。