コンピュータソフトウェア協会(CSAJ)は、パッケージソフトウェアやWebサービスのセキュリティ品質を向上させるための「ソフトウェア出荷判定セキュリティ基準チェックリスト」を、12月1日に「Ver.1.2」へアップデートした。
同チェックリストは2016年に公開されたが、4年を経て「プロトコルやアルゴリズムに脆弱性が発見され推奨されなくなった」「新たな脆弱性が発見された」「利用者の要求に変化がみられた」といった要因から、CSAJセキュリティ委員会およびSoftware ISACメンバーにて全面的な見直しが図られている。
今回、発表された「Ver.1.2」では、開発段階ごとに分類されており、順を追って確認することが可能になったほか、項目ごとに脅威シナリオを記載しており、当該シナリオが該当しない、経営リスクに直結しないといった場合は除外できるようになった。また、項目ごとにテスト方法を記載するとともに、何をすべきかが明確になっており、項目ごとに関連付けられた参考文書(各種公開文書)の記載も充実しているので、開発者自身によるさらなる深堀りが可能となっている。
なお、同チェックリストはCSAJのWebサイトからダウンロードでき、クリエイティブコモンズライセンスに基づいて誰でも自由に利用が可能で、改変や商用利用もできる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
