User Tools

Site Tools


ja:start

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
ja:start [2017/06/30 11:58] – [PHP Secure Coding Standard] yohgakija:start [2017/07/02 23:06] (current) – [推奨事項] yohgaki
Line 1: Line 1:
-====== PHP Secure Coding Standard ======+====== PHPセキュアコーディング標準 ======
  
-このルは[[http://php.net|PHP]]のコードをセキュアに書くためのルールを定義しています。現在の状態は開発中です。コメント/フィードバックを歓迎します。+PHPセキュアコディング標準は[[http://php.net|PHP]]のコードをセキュアに書く(正しくコードを動作させる)ためのルールを定義しています。
  
-このセキュアコーディング標準はフレームワークを利用しないPHPのコードを対象としています。フレームワークを利用する場合、そのフレームワークに合ったセキュアコーディング標準が必要です。セキュアコーディング標準は総合的なリスク対策ではなく、個別かつ具体的なコーディングにおけるリスクとその対策を解説することが目的です。+このPHPセキュアコーディング標準はフレームワークを利用しないPHPのコードを対象としています。フレームワークを利用する場合、そのフレームワークに合ったセキュアコーディング標準が必要です。セキュアコーディング標準は総合的なリスク対策ではなく、個別かつ具体的なコーディングにおけるリスクとその対策を解説することが目的です。
  
 具体的な個別のコードのリスクを知る事も重要ですが、セキュアコーディングの基本的概念を知る方がより重要です。 具体的な個別のコードのリスクを知る事も重要ですが、セキュアコーディングの基本的概念を知る方がより重要です。
Line 10: Line 10:
   * [[http://blog.ohgaki.net/design-by-contract-and-trust-boundary|契約による設計と信頼境界線]]   * [[http://blog.ohgaki.net/design-by-contract-and-trust-boundary|契約による設計と信頼境界線]]
  
-国際情報セキュリテ標準であるISO 27000(JIS Q 27000)は日本工業標準調査会WebサイトらPDFを参照できす。+OWASPの[[http://blog.ohgaki.net/owasp-secure-coding-practices-quick-reference-guide|OWASP Secure Coding Practices – Quick Reference Guide]]はチェックリスト形式でセキュアコーデング概念基礎要素がコードに実装されている確認できる便利なチェックリストです。 
 + 
  
-  * https://www.jisc.go.jp/app/JPS/JPSO0020.html  +===== 標準ルルテプレート =====
- +
-上記のJIS検索のページから「情報セキュリティ」をキーワードとした検索でJIS Q 27000のページを検索できます。 +
- +
-より一般的なセキュリティ対策のチェックリストなども有用です。 +
- +
-  * [[http://blog.ohgaki.net/owasp-secure-coding-practices-quick-reference-guide|OWASP Secure Coding Practices – Quick Reference Guide]] +
-  * [[http://blog.ohgaki.net/sans-cwe-top-25-monster-mitigation|CWE/SANS TOP 25 Most Dangerous Software Errors - Monster Mitigations]] +
-  * [[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project|OWASP Top Ten Project]] +
- +
-セキュアコーディング本家のセキュアコーディング標準 +
- +
-  * [[https://www.securecoding.cert.org/confluence/display/c/SEI+CERT+C+Coding+Standard|SEI CERT C Coding Standard]] +
-  * [[https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=637|SEI CERT C++ Coding Standard]] +
-  * [[https://www.securecoding.cert.org/confluence/display/java/SEI+CERT+Oracle+Coding+Standard+for+Java|SEI CERT Oracle Coding Standard for Java]] +
- +
-===== セキュアコディグの目的 ===== +
- +
-セキュアコーディングは単なる脆弱性対策ではない。セキュアコーディングの目的は+
  
-  * プロラムが正しく実行されると/正しく実行されたこと保証する+このPHPセキュアコーディン標準はの[[.:intro:テンプレート]]利用する
  
-ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性修正”(攻撃防止)を意味する。しかし、ITセキュリィ対策は攻撃防止のみに留まらない。 +===== スータス =====
-ISO 27000では+
  
-  機密性 +現在の状態は<color #ed1c24>**開発中**</color>です。コメント/フィードバックを歓迎します。
-  完全性 +
-  可用性 +
-  信頼性 +
-  * 真正性 +
-  * 責任追跡性 +
-  * 否認防止+
  
-これら全ての性質を保証することを求めている。 
  
 ===== はじめに ===== ===== はじめに =====
  
   - [[.:intro:謝辞]]   - [[.:intro:謝辞]]
-  - [[.:intro:導入]] +  - [[.:intro:セキュアコーディングの目的]] 
-  - [[.:intro:ンプレ]]+  - [[.:intro:セキュアなコードの構造(アーキクチャ]]
  
  
Line 71: Line 46:
   - [[.:rule:セッション管理]]   - [[.:rule:セッション管理]]
   - [[.:rule:ファイルアップロード]]   - [[.:rule:ファイルアップロード]]
 +  - [[.:rule:ファイル]]
   - [[.:rule:暗号]]   - [[.:rule:暗号]]
   - [[.:rule:PHP設定]]   - [[.:rule:PHP設定]]
Line 83: Line 59:
  
   - [[rec:コードの配置]]   - [[rec:コードの配置]]
-  - +  - [[rec:機能の制限]]
  
  
Line 89: Line 65:
 ===== リファレンス ===== ===== リファレンス =====
  
 +国際情報セキュリティ標準であるISO 27000(JIS Q 27000)は日本工業標準調査会のWebサイトから標準規格を参照できます。上記のJIS検索のページから「情報セキュリティ」をキーワードとした検索でJIS Q 27000のページを検索できます。
  
 +  * https://www.jisc.go.jp/app/JPS/JPSO0020.html 
 +
 +
 +より一般的なセキュリティ対策のチェックリストなども有用です。
 +
 +  * [[http://blog.ohgaki.net/owasp-secure-coding-practices-quick-reference-guide|OWASP Secure Coding Practices – Quick Reference Guide]]
 +  * [[http://blog.ohgaki.net/sans-cwe-top-25-monster-mitigation|CWE/SANS TOP 25 Most Dangerous Software Errors - Monster Mitigations]]
 +  * [[https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project|OWASP Top Ten Project]]
 +
 +セキュアコーディング本家のセキュアコーディング標準
 +
 +  * [[https://www.securecoding.cert.org/confluence/display/c/SEI+CERT+C+Coding+Standard|SEI CERT C Coding Standard]]
 +  * [[https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=637|SEI CERT C++ Coding Standard]]
 +  * [[https://www.securecoding.cert.org/confluence/display/java/SEI+CERT+Oracle+Coding+Standard+for+Java|SEI CERT Oracle Coding Standard for Java]]
ja/start.1498823899.txt.gz · Last modified: 2017/06/30 11:58 by yohgaki

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki