ソフトウェア開発で使える「セキュリティ強化用チェックリスト」、CSAJが公開:企画担当者や品質管理担当者も活用してほしい
コンピュータソフトウェア協会は、ソフトウェアのセキュリティ品質向上に必要な項目をまとめた「ソフトウェア出荷判定セキュリティ基準チェックリスト」を発表した。
コンピュータソフトウェア協会(以下、CSAJ)は2016年7月13日、ソフトウェア開発現場での仕様策定や出荷テストの際の評価項目「ソフトウェア出荷判定セキュリティ基準チェックリスト」を発表した。
このチェックリストは、「企画」「仕様策定」「方式設計」「詳細設計」「テスト」「運用」というソフトウェア開発のライフサイクルにおいて、セキュリティの強化に必要な48項目の要件を定義したもの。
チェックリスト利用のイメージ図(出典:CSAJのプレスリリース)
CSAJは、ソフトウェアの信頼性をより向上させることを目的に、ソフトウェア開発担当者だけでなく、企画担当者や品質管理担当者などもこのチェックリストを活用してほしいとしている。
チェックリストは、CSAJのWebサイトでダウンロード可能。CSAJの会員・非会員を問わず利用できる他、改変や商用利用も自由となっている。
- なぜ、いま「セキュアコーディング」なのか?
多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。
- 地の利を得る攻撃者たちに、ソフトウエア開発者はテストで立ち向かえ
クラウドやIoTの普及とともに、ソフトウエアは一層複雑さを増し、攻撃者たちはますますアドバンテージを得つつある。ソフトウエア開発者はこの状況にどのように立ち向かえばよいのだろうか。近年、セキュリティソリューションの拡充に力を入れるシノプシスのマーケティング担当バイスプレジデントで、2015年4月にシノプシスに買収されたCodenomiconの元CEO デビッド・シャルティエ氏に、セキュリティテストにおいて開発者が留意すべき事項と具体的な対策について聞いた。
- @IT読者調査に見る、ソフトウェアレビューの“現実”
ソフトウェア開発の「スピードと品質」がビジネスの差別化を支える要点となっていながら、スピードや納期を重視するあまり、品質担保の取り組みが手薄になりがちな傾向もあるようだ。@IT読者調査から、ソフトウェアレビューの現状を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.