製品を開発する際に、セキュリティの視点を盛り込むのってかなりしんどくないですか。
範囲が広いですし、開発対象のOSやシステムの仕様によって重視するべき視点も異なってくるので、いかに適切な情報を取得できるかが重要ですからね~。。
今回は自分が参考にしているセキュリティに関する情報サイトをまとめたいと思います。
IPA
トップはもちろんIPA(情報処理推進機構)ですね。
日本でアプリケーション開発を行った場合は、かならず耳にしたことがあるはず。
ソフトウェア開発の考え方やらテストの方法、コーディングルールまでソフトウェア開発に関する色々なドキュメントを提供くださっています。
ソフトウェア開発において、その時代での困りごとに合わせて資料が作成されているようで、最近だとクラウドやらセキュリティに関する資料が多いように思います。
セキュリティに関しても長年の取り組みがあるようで、「安全なwebアプリケーションの作り方」などは非常に参考になります。
セキュリティに関連するトレンドを把握したい場合は、IPAを利用しています。
JVN
利用したい技術に関する脆弱性を調査したい場合は、JVNを利用しています。
技術名で検索することができ、深刻度もスコア化されているので非常に見やすいです。
ためしに、postgresqlで調べるとこんな感じです。
タイトルとスコアが掲載されていて非常に見やすいですね。
GIGAZINE
世界各国のトレンドをいち早く知りたいときに、GIGAZINEを利用しています。
特にセキュリティに特化したサイトというわけではありませんが、
ITに関するホットな話題を収集できるので、非常に便利です。
最近だと、ブラジルで流行したマルウェアのBRATAなどが印象的でした。
流石に、セキュリティの地域的な流行まで独力では見てられませんもんね。
こういう雑誌みたいな情報サイトでこんなのあるんだ~くらいのことを収集しておくだけで、いざというときの行動が変わってきそうです。