ソフトウェア・セキュリティを要件に定義していますか?
堅牢なソフトウェア・セキュリティ要件定義により、意図した用途以外では使用できないようにソフトウェアの用途を制限(ロックダウン)することができます。独自のセキュリティ要件定義の作成方法について説明します。
カテゴリ: アプリケーション・セキュリティ, おすすめ, ソフトウェア・アーキテクチャと設計
セキュリティ上のバグと欠陥:異なるが、悪いという点では同じ
セキュリティの欠陥はバグとは異なりますが、アプリケーションとシステムのセキュリティを危険にさらす点では同じです。設計上の欠陥を見つけて修正する方法について説明します。
カテゴリ: おすすめ, ソフトウェア・アーキテクチャと設計
OWASP Top 10 Webアプリケーション・セキュリティ・リスク
OWASP Top 10 2017は、最も重大なWebアプリケーション・セキュリティ・リスクのリストです。Webアプリケーションに関するこれらの10大脆弱性にどのように対応したらよいでしょうか?数年に一度OWASPは、Webアプリケーション・セキュリティ・リスクに関する最も重大な10件についてのレポートを発表しています。最新版であるOWASP Top 10 2017は、2017年11月に発表されました(当社のAndrew van der Stockが制作に協力)。
カテゴリ: Webアプリケーション・セキュリティ, セキュリティ・スタンダートとコンプライアンス, ソフトウェア・アーキテクチャと設計
脅威モデルはSDLCのどの段階で取り入れるべきか?
社内には構築・デプロイされているアプリケーションが1つや2つ、あるいは10、さらには100はあるかもしれません。そして、これからそれらのアプリケーションを対象とした脅威モデルを構築しようとしています。それはなぜでしょう?
カテゴリ: ソフトウェア・アーキテクチャと設計
サードパーティー・セキュリティ・リスクの緩和方法
サードパーティーの製品やサービスは事業の運営に不可欠です。組織はコスト削減によるソリューションの最適化に依存するところが大きく、そのために外部エキスパートが必要になります。サードパーティーの組織は製品・サービスの迅速なデリバリ、コンプライアンス要件の遵守、組織の全体的な業績向上を約束します。
カテゴリ: ソフトウェア・アーキテクチャと設計, ソフトウェア・セキュリティ対策(SSI), マチュリティ・モデル(BSIMM)
Webアプリケーション・セキュリティの属性とは
一般に、Webアプリケーションのアーキテクチャは通常Webブラウザ上で行われる基本的なレンダリングとクライアントへの情報の返却に対応します。その裏側で、Webアプリケーションはさまざまな異なる階層を利用します。その中にはプレゼンテーション、業務、データに使用するサーバーが含まれる場合があります。ニーズに応じてアーキテクチャの種類やアーキテクチャを構成する階層方式はさまざまです。
バッファ・オーバーフローを検出、防止、緩和する方法
情報セキュリティ産業の誕生以来、バッファ・オーバーフローは常に注目を集め続けてきました。1980年代後半、ロバート・T・モリス氏がUNIXのfingerdプログラムを利用して、たった2日でインターネットに接続している機器の10%に感染するワームを作成しました。この一件でサイバーセキュリティがコンピューター・サイエンス史上初めて見出しのトップを飾り、以後たびたびメディアで大きく取り上げられるようになりました。
カテゴリ: ソフトウェア・アーキテクチャと設計
SDLCの工程ごとのバグ修正コストは?
ソフトウェアのバグをなくし、信頼性を高めるには、ソフトウェア開発ライフサイクル(SDLC)の明確な定義が不可欠です。シノプシスでは、手間とコストを削減するにはSDLCの早期でのバグ修正が重要であることを折に触れてお伝えしています。では、実際に、SDLCの工程によってバグ修正コストはどの程度異なるのでしょうか。この投稿では、ソフトウェアライフサイクルの各段階で発生し得るバグ修正コストに焦点を当ててこの問題を検討していきます。
カテゴリ: ソフトウェア・アーキテクチャと設計
包括的なセキュリティ脆弱性評価チェックリスト
脆弱性評価は、悪意のあるアクター(行為者)によるエクスプロイトの可能性があるWebアプリケーションのセキュリティ脆弱性の重大度レベルを特定して割り当てるプロセスです。評価は手動で行い、市販またはオープンソースのスキャン・ツールで補完して最大限のカバレッジを確保します。この必須チェックリストは、Webアプリケーションのセキュリティの欠陥を包括的にテストする場合の定石です。 評価の前