『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。 - JSSEC | 一般社団法人日本スマートフォンセキュリティ協会
2022年8月29日 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】を公開しました。 ・『Android アプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】 ・「サンプルコード一式」 【2022年8月29日版】 報道関係各位 JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2022年8月29日版を公開 一般社団法人日本スマートフォンセキュリティ協会 一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の14版目の改定版である2022年8月29日版を公開しました。 ■2022年8月29日版の改訂
いい加減、<script src="http://.. と書くのはやめましょう - DQNEO起業日記
外部サイトのJSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読み込んでくれないのです。 上の例ではjQueryの読み込みに失敗していますが、エラーメッセージ「Uncaught ReferenceError: jQuery is not defined 」を見てもHTTPS/HTTPのプロトコルが原因だとはすぐ気づかないので、わかりにくいバグになってしまいます。 結論 JSファイル(とかCSSとか画像とか)を読み込むときは、"http:"の部分を省
見落としがちな整数関連の脆弱性(前編)
整数の脆弱性 2013 いまをさかのぼること6年前の2007年。情報セキュリティ関連のリサーチを行う米国の非営利団体、MITREが、ソフトウェアの脆弱性のトレンドに関する調査レポートを公表しました。調査は2006年の1年間に発見された脆弱性を対象に行われ、レポートには、その年の脆弱性の傾向とその分析結果がまとめられています。 さて、このレポートの概要には、整数オーバーフローについて書かれた次のような一節が見つかります。 整数オーバーフローは、過去数年の間、かろうじてトップ10入りする程度の脆弱性にすぎなかったが、(今回の調査では)OSベンダのセキュリティアドバイザリにおいて、バッファオーバーフローに次いで2番目に多い脆弱性であることが分かった。これは(OSのような)注目を集めるソフトウェアに研究者の興味が向かっていることを示唆しているのではないか この状況は、レポートの公表から6年が経過し
SDNAがAndroidアプリ脆弱性検査ツール--個人は月額1000円
ソニーデジタルネットワークアプリケーションズ(SDNA)は4月18日、Androidアプリの脆弱性が検査できるツール「Secure Coding Checker」を発表した。5月中旬から販売する。 SaaSで提供されるSecure Coding Checkerは、Androidアプリの本体である“apk”ファイルが「Androidアプリのセキュア設計・セキュアコーディングガイド」(日本スマートフォンセキュリティ協会=JSSEC作成)にしたがって開発されているかを診断し、脆弱性が含まれていないかを検査するツール。検査結果レポートでは問題がある場所を指摘、コーディングガイドで参照すべき項目への導線も提示してくれる。 使い方は、ツールにログインして検査対象のapkファイルを選択するだけという簡単設計。料金は、1アプリを対象とした個人向けプランが月額1000円、10アプリまでを対象とした法人向けプ
セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開 - @IT
2012/06/11 日本スマートフォンセキュリティ協会(JSSEC)は6月11日、セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。7月31日まで、ガイドに対するパブリックコメントを募集する。 Androidアプリのセキュア設計・セキュアコーディングガイドは、JSSECのセキュアコーディンググループがまとめた全232ページの文書だ。ソフトウェアメーカーやアプリケーション開発者を対象に、セキュアコーディングの基礎知識にはじまり、ActivityやSQLiteといったAndroid特有の機能の適切な実装方法や、パーミッションや暗号、電子署名などAndroid OSが備えるセキュリティ機能の使い方を紹介している。 特徴は「開発現場で使う」ことを念頭に置いて、ふんだんにサンプルコードを交
IPA、Cのソースコードのセキュリティ検査ツールを公開 − @IT
2012/05/08 情報処理推進機構(IPA)は5月8日、C言語で書かれたソフトウェアのソースコードを検査し、脆弱性が含まれている個所を検出して修正方法とともにレポートするツール「iCodeChecker」を公開した。 iCodeCheckerは、脆弱性やソースコード検査技術を学習したいと考える学生や開発者向けのツールだ。Cのソースコードファイルを読み込ませると自動的に解析を行い、何行目にどういった脆弱性が存在し、どのように修正すべきかを示したレポートを日本語で出力する。 検出できるのは、バッファオーバーフローや整数オーバーフロー、配列インデックスの検証不備といった、開発時に作り込みやすく、かつ危険度の高い脆弱性8種に絞られている。だがそれでも、任意のコード実行につながるような、影響が大きい脆弱性の検出が期待できるという。 iCodeCheckerは、パッケージ形式とソースコード形式(い
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
JPCERT コーディネーションセンター イベント情報
C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 は終了いたしました。 ご参加いただきました皆様、誠にありがとうございました。 脆弱性のない安全なプログラムを開発するために ~ソフトウエアの脆弱性が作りこまれる根本的な原因を学び、問題を回避する~ JPCERTコーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナーを下記のとおり開催いたします。 従来のプログラミング教育は、基本的なアルゴリズムをどのようにコーディングするかが主なものでした。 しかし C/C++ 言語による開発では、基本的なプログラミングだけでなくセキュリティへの十分な配慮が必要です。不用意なプログラミングの結果、予期せぬ脆弱性を多く含むソフトウエアが生まれます。 本セミナーは、経済産業省の委託によるソ
セキュリティ専門家ら、コーディングエラー上位25リストを公開
米国政府機関、多国籍企業、学術業界のセキュリティ専門家が、ソフトウェアコーディング中に発生するコードエラーのうち深刻なもの25件のリストを発表した。 SANS Instituteが米国時間1月12日に発表した声明文によると、30以上の組織が共同で作業し、25件の「最も危険な」エラーを選んだという。作業に参加したのは、米国家安全保障局、米国コンピュータ非常事態対応チーム(US-CERT)、MITRE、SANS Instituteなどの組織のほか、Microsoft、Apple、Oracleなどだ。 リストを公開することで、プログラマーがセキュリティ脆弱性につながるエラーを確認できるようにすることがこの取り組みの狙いだ。 「(リストにより)組織のソフトウェア購入方法がすぐに変わるだろう」とSANS InstituteのディレクターであるAlan Paller氏はZDNet UKに語った。 MI
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
