「リスクに紐付く脆弱性のタイプを見てみる〜ソースから見る脆弱性問題点の把握〜」 こちらに参加しました。
今日のテーマは、Webアプリケーションのセキュリティに関する脆弱性を如何にして特定するかという内容です。
なかなか良かったです。
普段は社内システム向けのプロダクトの開発しかしてないのですが、クラウド環境化の波はどんどん押し寄せます。オンプレミスな環境に対応するだけでは済まない状況であり、セキュアプログラミング開発の知見を得る必要性を感じての参加です。
今日のセミナでは、セキュリティ各種団体の概要の説明、脆弱性の具体例、プロダクト開発者がなぜセキュリティの全体像を知る必要があるのか、といった点について話題が挙がりました。
共通脆弱性タイプ一覧CWEによって、典型的なプログラム脆弱性のパターンを確認・学習する事ができる点についても説明がありました。
問題に発展しそうな脆弱性について、普段の調査ではCWEサイトをスポット的に見る機会はありました。しかし、なにしろグローバルな英語サイトなので、英文を読むのがつらくなって、すぐにページから退散する事が多かったです。
しかしもう少しだけ細かく見ていくと、脆弱性のある不適合コードや、実際の問題事象のサンプルといった情報が豊富に存在しており、セキュリティに関する知見を得られるサイトだったのでした。今日初めて知りました。
実現しようとする機能には、どのような脆弱性を組みこむ危険性が潜んでいるのか、といった観点からリスク要因を事前に予期・認識できたなら、適切な対処ができます。
その点で、あらゆる脆弱性パターンの概要を体系だてて理解しておく事は重要です。
普段からセキュアプログラミングの知識を得ようとする心がけは、プロダクトの品質を高めるだけでなく、プロジェクトを成功に導く為のリスクヘッジとして意義があると感じました。
今後も定期的に勉強会に参加していきたいと思う次第です。
