ISO 26262との向き合い方 (24) ソフトウェア安全分析・設計2
SESSAMEで6月7日に開催するソフトウェア安全分析・設計セミナの資料を作っているところだ。 4月17日に募集要項を公開してから2日間で事務局宛に11名の応募があったようだ。(定員は30名なので参加を検討されている方は早めに申し込んで欲しい) 東京近郊以外の遠方から申し込んでいただいた方も半分くらいおられるので、その方達の期待に添う内容にしたいと思っている。 セミナで使うスライドはまだまだこれから作成、ブラッシュアップしていくので、参加を希望されている方達の業務ドメインを眺めながらそれぞれの実務でイメージが湧くような事例を多く紹介しようと思っている。 なお、このブログで ISO 26262 の特集記事を書いていることもあって、現在のところ自動車系のドメインの方の申し込みが多い。(自動車ドメインに特化した内容ではないので、他のドメインの方も来て欲しい) この記事では、『ソフトウェア安全分析
標準と基本概念から学ぶ正しいセキュリティの基礎知識
(Last Updated On: 2018年11月6日)今回は一部の技術者が勘違いしているセキュリティ概念の話です。技術者とはWebアプリケーションのソフトウェア技術者を指していますが、他の分野の技術者にも同じ勘違いが多いかも知れません。常識であるべき知識が常識でないのが現状のようです。全ての技術者が知っておくべきセキュリティの基礎知識です。 残念ながらセキュリティ対策の定義どころか、プログラムの構造・動作原理も正しく理解されていないと言える状態です。 セキュアコーディングの構造/原理/原則 ゼロトラストとフェイルファースト ソフトウェア開発には膨大な知識が必要です。目的(ソフトウェアを作ること)以外の知識を取り入れる機会や余裕が無かった方も多いと思います。セキュリティ基礎知識を知らなかった方、安心してください!基本は簡単です。一度知ってしまえば忘れるような難しい事ではありません。勘違い
開発者はセキュリティ問題を自己解決できるのか?
(Last Updated On: 2018年8月4日)ソフトウェア開発において開発者はセキュリティ問題を自己解決できるのか?それとも自己解決できないのか?どちらが正しいのか考えてみます。 開発者はセキュリティ問題を自己解決できない 開発者はセキュリティ問題を自己解決できないことを前提とした場合 全ての開発者に安全な処理の基礎知識を教えるのは無理である 従って、開発者には「安全に処理する作法」を教えてそれを守らせる といった方針になります。 ”特定の処理”に関する安全性を向上させるにはこのアプローチは効果的です。開発者は何故ソフトウェアに脆弱性が発生するのか考える必要がないこともメリットです。 例えば、SQLクエリのパラメータによりSQLインジェクションを防ぐには、全てのパラメータをプリペアードクエリのパラメータとしてSQL文からデータを分離すると教えて守らせる、JavaScriptにパラ
コードサイニング証明書を買う前に
2022/9/21 わかりやすく一覧にしてみた かれこれ15年以上 いくつかの代理店経由でコードサイニング証明書をとり、雑誌(ハッカージャパン・白夜書房)でも二度にわたり、コードサイニング証明書の取り方を解説してきた。その経験から、これまでの取材内容と合わせて、代理店・主要価格一覧をまとめてみたので、みなさんの参考になれば幸いである。 2022年版に際して(概況) CA(認証局)ブランドの集約が進み、Symantec、thawte、Verisign は DigiCert に一本化された。これと並行して旧ブランドを扱う代理店の契約改廃が進行し、新ブランドに移行しなかった代理店(コードサイニング証明書の扱いをやめた事業者)もあるようだ。 こうした背景から2022年の日本では、DigiCert、GlobalSignのハイブランド2社と、カジュアルブランドのSectigo、2021年末から円建ての
LasCon 2014 DevOoops
In a rare mash-up, DevOps is increasingly blending the work of both application and network security professionals. In a quest to move faster, organizations can end up creating security vulnerabilities using the tools and products meant to protect them. Both Chris Gates (carnal0wnage) and Ken Johnson (cktricky) will share their collaborative research into the technology driving DevOps as well as s
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GSN/D-Case解説ビデオ集 - Qiita
