コピー&ペーストは危険なコーディングテクニック

2017年9月30日発行
ピーテル・ダンヒョウ著
ケーススタディ

コピー&ペーストは危険なコーディングテクニック

2017年9月30日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。

しかし、開発者の視点からは、この問題をもっと認識する必要があります。

  • コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
  • かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
  • これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。

報告書では、以下のような解決策を提案しています。

  • 従業員の再教育
  • 半自動化されたセキュリティバグの検出と修正

今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。

"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

コピー&ペーストは危険なコーディングテクニック

2024年1月22日発行
Pieter Danhieux著

バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。

しかし、開発者の視点からは、この問題をもっと認識する必要があります。

  • コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
  • かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
  • これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。

報告書では、以下のような解決策を提案しています。

  • 従業員の再教育
  • 半自動化されたセキュリティバグの検出と修正

今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。

"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"

https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。