User Tools

Site Tools


ja:start

This is an old revision of the document!


PHP Secure Coding Standard

このルールはPHPのコードをセキュアに書くためのルールを定義しています。現在の状態は開発中です。コメント/フィードバックを歓迎します。

このセキュアコーディング標準はフレームワークを利用しないPHPのコードを対象としています。フレームワークを利用する場合、そのフレームワークに合ったセキュアコーディング標準が必要です。セキュアコーディング標準は総合的なリスク対策ではなく、個別かつ具体的なコーディングにおけるリスクとその対策を解説することが目的です。

具体的な個別のコードのリスクを知る事も重要ですが、セキュアコーディングの基本的概念を知る方がより重要です。

国際情報セキュリティ標準であるISO 27000(JIS Q 27000)は日本工業標準調査会のWebサイトからPDFを参照できます。

上記のJIS検索のページから「情報セキュリティ」をキーワードとした検索でJIS Q 27000のページを検索できます。

より一般的なセキュリティ対策のチェックリストなども有用です。

セキュアコーディング本家のセキュアコーディング標準

セキュアコーディングの目的

セキュアコーディングは単なる脆弱性対策ではない。セキュアコーディングの目的は

  • プログラムが正しく実行されること/正しく実行されたことを保証する

ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性修正”(攻撃防止)を意味する。しかし、ITセキュリティ対策は攻撃防止のみに留まらない。 ISO 27000/ISMSでは

  • 機密性
  • 完全性
  • 可用性
  • 信頼性
  • 真正性
  • 責任追跡性
  • 否認防止

これら全ての性質を保証することを求めている。

はじめに

ルール

推奨事項

リファレンス

ja/start.1498823988.txt.gz · Last modified: 2017/06/30 11:59 by yohgaki

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki