GIAC Secure Software Programmer(GSSP)認定試験は、SANS Institute、US CERT/CC、米国政府機関と、米国、日本、インド、ドイツのリーディング・カンパニーの尽力によって開発されました。この試験は、急激に増加するアプ リケーションの脆弱性を突いたターゲテッドアタック(標的型攻撃)に対する本質的な対抗策です。 >>More Info
「最も危険なプログラミングエラー25項目とその解決策に関する共通認識を専門家が発表――
この認識が組織のソフトウェア購入基準を変化させる
米国時間2009年1月12日、ワシントンDCで米国をはじめとする各国のサイバーセキュリティ会社に所属する30名以上の専門家が、セキュリティバグの原因になったり、サイバースパイ活動やサイバー犯罪につながる恐れのある最も危険なプログラミングエラー25項目のコンセンサスリストを共同発表しました。驚くべきことに、こうしたエラーのほとんどがプログラマにきちんと理解されていない現状です。コンピュータサイエンスの課程でもこうしたエラーの回避策を教えておらず、商用ソフトウェアを開発している企業でさえその存在を見逃してしまう場合があります。
本ドキュメントは以下からダウンロードしてご覧ください。
http://www.sans.org/top25errors/top25_japanese.pdf
一般に、ほとんどのセキュリティ事件・事故(悪意あるユーザが、他人のコンピュータを乗っ取るような事象)の根幹にある原因は、設定の問題と不適切なコンピュータコードという2つの問題のいずれかです。特に、不適切なコードの重大性が増しています。2000 年2 月、ホワイトハウスで行われたクリントン大統領とインターネットおよびソフトウェア専門家との会談において、Mudgeと名乗るハッカーは大統領に次のように述べています―「ソフトウェアがずさんに開発されている。発売前に、ソフトウェアの誤りを検出するための検査すら行われていない」。
それから約9 年が経過しましたが、犯罪者や国家によるバグの多いソフトウェアへの攻撃が増す一方である以外、ほとんど変化は見られません。
本資料は、上記の2つの構想と併せて、ソフトウェアの購入者とユーザがこうした状況に対処するための第一歩となるべきものです。本資料の活用により、カスタムソフトウェアの購入者は、ソフトウェア納入前にコードの検査とセキュリティ上の弱点の修正をコード作成者の責任で行うよう求めることができます。
本ドキュメントは以下からダウンロードしてご覧ください。
http://www.sans.org/appseccontract/appseccontract_japanese.pdf
>>アプリケーションセキュリティ調達基準の英語サイトへ
Copyright (C) 2005-2010 SANS JAPAN Project All Rights Reserved.