「『Windows だから危険』ではない」に続き、「『Microsoft だから危険』ではない」と言える結果が出た模様。ただし、「**の製品を使って作るものに対して」です。また、一番重要なのは、「『Windows だから危険』ではない」に対してがるさんがコメントされている、「結局のところ「セキュリティの根幹」を理解したうえ」
での話です。また、hogeさんのコメント、「ところで、「危険」「安全」という意識はどの部分を言うんでしょうか?」
に対しては、「外部攻撃に対する耐性」にあたると思います。
Windows の開発ライフサイクルの話かと思っていたら、違った...いや、それじゃ IBM と比較できないか。
ネタもと:ソフトウェア開発ライフサイクルでのセキュリティ比較
マイクロソフト社の、北川さんのブログより。
調査は3つの事柄、「プラットフォームセキュリティガイダンス」「ソフトウェアセキュリティ設計ガイダンス」「セキュリティツール」について、それぞれ4つの観点、「カバレッジ」「品質」「見やすさ(visibility)」「使いやすさ(usability)」から、パーセンテージで計られています。「見やすさ」というのが、北川さんが「ドキュメントが容易に探せる」
とおっしゃっている所ですね。
- Platform Security Guidance
-
プラットフォームセキュリティガイダンスは、プラットフォーム上で安全な開発をするために、どの様なセキュリティ上の機能とガイドラインを用いるか、文書で説明するために提供される、リファレンスドキュメントのセットです。これは、API のリファレンス、構成ドキュメント、チュートリアルの形式をとるでしょう。
- Software Security Engineering Guidance
-
ソフトウェアのセキュリティを設計するためのガイダンスが、開発ライフサイクルで、安全なアプリケーションを生産するためのキーとなる活動を説明します。これには脅威モデル、セキュリティの為のコードレビュー、およびテストを含みます。
- Security Tools
-
ツールがプロセス支援、オートメーションおよびその他の機能によって、安全な開発を可能にします。これには脅威モデルツール、ビルドを実証するために自動化されたテスト、コードレビューのための静的解析ツール、および安全なコーディングのためのガイドラインを厳守させるためのリファクタリング機能を含みます。
- Coverage
-
項目と機能について、理想的なこれらのセットに対して、どの程度カバーしていて、計測できるかを定義します。
- Quality
-
ガイダンスまたは手段が、セキュリティ問題のセキュリティ問題に適切に当てはまるかどうか、および、その問題を解決するにあたって効果的かつ正確であるかどうかを考慮します。
- Visibility
-
開発者に、セキュリティに関するガイダンスとツールを適切に提供していることを考慮します。
- Usability
-
セキュリティガイダンスとツールの有用性を考慮します。
翻訳は LogoVista X Pro 3.0 の自動翻訳を元に、適当に組み直しています。
比較は VS2005 の RCかな?と、Rational Suite 6 で行われたようです。
なお、リンク先でファイルをダウンロードするとき、「名前」「会社名」「メールアドレス」「電話番号」を求められますが、「名前」だけでもいけました。何も入力しなくてもいいかも?
開発用ドキュメントから見たセキュリティ、という意味合いが強いと思います。「Eclipse と VS2005 を比べたら、無条件に VS2005 で作成するアプリケーションの方がセキュリティが高いものができる」ワケではありません。
投稿日時 : 2005年12月21日 21:58