JPCERTコーディネーションセンター から「CERT Oracle Java セキュアコーディングスタンダード」の日本語版が公開されましたね。(元ネタ)
この資料の特筆すべきところは、
- 機械翻訳・非技術者翻訳ではなく、技術者による翻訳なので分かりやすい。
- 個々のチェックポイントについて、NG例・OK例が提示されているので、文章の意味が分からなくてもコードを見たらよく分かる。
- 巷間話題のAndroidアプリで関係するチェックポイントはどれとどれか、別表で明確になっている。
といった辺りでしょうか。通常セキュリティ診断の会社にこの資料出してもらうとすれば数百万円は払わなくてはならないでしょう(それでも格安)が、それが無償公開だなんて!!!
何となくセオリーとしてやっていた事・やらずにいた事ってのが、実はセキュリティ的な意味があったという事が分かったりもしますので、ざっと読むだけでもなかなか面白いですよ。
特に「とりあえず作れ!」的な感じで質問できる先輩もいないのに Javaのプログラマになっちゃった方には必読の文章だと思います。腕磨いて下さい。(これ、特定の誰かを頭に浮かべてるわけではありません。ホントに(苦笑。)
しかしこんな情報が整理された状態で公開されるなんて、ホント、いい世の中になったよな~。
* 「CERT Oracle Java セキュアコーディングスタンダード」 日本語版
* Androidアプリケーション開発へのルールの適用(日本語版オリジナル)