ソフトウェア・インテグリティ

セキュアSDLC 101

SDLCのフェーズについて、およびSDLCにセキュリティを組み込む方法、さらに既存のSDLCを次のレベルのセキュアSDLCへと進める方法について説明します。

続きを読む

静的解析の効果を最大化する

競争力のあるペースを維持しつつ、安全で高品質のソフトウェアを作成しようとしている組織では、アプリケーションのセキュリティに対する責任は開発者にとって大きなものに成り始めています。 IDEプラグイン、静的アプリケーション・セキュリティ・テスト（SAST、あるいは静的解析）により、ツールは、開発者がコーディング時にセキュリティの弱点や品質の欠陥を見つけるための直感的なソリューションです。

続きを読む

BSIMM: ソフトウェア・セキュリティ対策向上への5つの重要なステップ

SSIの目標は、全工程でのセキュリティの向上です。BSIMM11で観察されたこれらの重要なステップに従って、SSIの開始または向上に取り組みましょう。

続きを読む

MITREが2020 CWE Top 25最も危険性の高いソフトウェアの脆弱性を発表

今年のCWE Top 25最も危険なソフトウェア脆弱性のリストを利用してアプリケーション・セキュリティの優先順位を設定する方法をご紹介します。

続きを読む

［CyRC脆弱性勧告］複数のWiFiルーターのチップセットにおける認証バイパスの脆弱性（CVE-2019-18989、CVE-2019-18990およびCVE-2019-18991）

CyRC(Synopsys Cybersecurity Research Center )によるCVE-2019-18989、CVE-2019-18990およびCVE-2019-18991の解析レポートです。

続きを読む

BSIMM11: ソフトウェア・セキュリティ・イニシアティブの最先端

BSIMM11は、実際の企業から収集したソフトウェア・セキュリティ・アクティビティに関する調査を基に、 ソフトウェア・セキュリティ・イニシアティブを導くのに役立つガイドを作成します。

続きを読む

大規模なApache Strutsリサーチ、第3部：エクスプロイト

CVE-2018-11776のリサーチで、私たちは、大規模なさまざまな構成（115個のStrutsバ―ジョン）で使用できるように、独自の実証概念を作成しました。

続きを読む

ソフトウェア・セキュリティを要件に定義していますか？

堅牢なソフトウェア・セキュリティ要件定義により、意図した用途以外では使用できないようにソフトウェアの用途を制限（ロックダウン）することができます。独自のセキュリティ要件定義の作成方法について説明します。

続きを読む

ソフトウェア・セキュリティ・トレーニングに関する4つの課題を克服する方法

ソフトウェア・セキュリティ・トレーニングに関する以下の4つの課題に直面した場合、それらを克服してチームが必要なトレーニングを受けるためのヒントがいくつかあります。

続きを読む

セキュリティ上のバグと欠陥：異なるが、悪いという点では同じ

セキュリティの欠陥はバグとは異なりますが、アプリケーションとシステムのセキュリティを危険にさらす点では同じです。設計上の欠陥を見つけて修正する方法について説明します。

続きを読む

新しいDevSecOpsの研究、SDLCを通してAppSecへの対応の必要性を強調

この調査結果により、開発プロセスでのセキュリティのシフトレフト（前倒し）、継続的なトレーニングによる開発チームの強化、および速度に悪影響を与えずに安全にコーディングできるように現在のプロセスを補完するソリューションのツール提供などの重要性が再確認されました。

続きを読む