まだまだ続くAndroidセキュアコーディング
-
Upload
satoshi-fujimura -
Category
Software
-
view
291 -
download
3
description
Transcript of まだまだ続くAndroidセキュアコーディング
まだまだ続くAndroidセキュアコーディング
2014-09-08 OWASP Night
JSSEC (日本スマートフォンセキュリティ協会)
技術部会 副部会長
藤村 聡
自己紹介
藤村 聡
JSSEC (日本スマートフォンセキュリティ協会)
技術部会 副部会長
ブログ「ソフトウェアセキュリティの気になる話」
2014/9/82
セキュリティ 気になる話 検索
facebook: satoshi.fujimura
2014/9/83
• JSSEC発行の『Androidアプリのセキュア設計・セキュアコーディングガイド』
• PDF ファイル無料配布
• 2012年の初版以来、30万回以上のダウンロード
Android アプリセキュアコーディングの
テキストとしてのデファクトスタンダード
• 編纂リーダー:松並 勝
この活動で (ISC)2 の
Asia ISLA 受賞
「JSSECセキュアコーディングガイド」とは
2014/9/84
• 常にベータ版
• Android 特有の注意点を網羅すべく、常にネタを募集中
• 豊富なサンプルコード• コピペ歓迎。
• 無料• 数百ページものコンテンツが無料とは…
• 無茶ですが、今後も何とか続けていきたい。
「JSSECセキュアコーディングガイド」の特徴
2014/9/85
「ガイド」を読んでいれば…
Android版 〇〇 に SSLサーバー証明書検証不備の脆弱性
Android版 △△ に 情報管理不備の脆弱性
Android版 □□ に アクセス制限不備の脆弱性
転ばぬ先の杖として、ご活用ください!
2014/9/86
第4版できました!
234309
365
2014/9/87
アプリを安心して使っていただくために対応必至の項目
総務省の「スマートフォンプライバシーイニシアティブ」(SPI) に準拠した設計・
実装・運用が求められます。
【追加1】プライバシー情報を扱う
今回もサンプルコードがしっかり付いてますので、ご安心を。
2014/9/88
せっかく暗号化するのですから、用法を守って正しく使いましょう。
【追加2】暗号技術を利用する
2014/9/89
• いまのところ、未定です。
• ネタをお持ちの方、ぜひご連絡ください。
• 中身も書いていただければ、なお歓迎です。
• 既存記事に対するツッコミも、よろしくお願いします。
今後の改訂予定
2014/9/810
そして…
2014/9/811
Finally, English edition has come!
2014/9/812
まずは来週の AppSec USA で宣伝、してこようかと。
いよいよ世界進出
2014/9/813
• 日本のアプリからセキュアにしていきましょう。
• 編纂を手伝ってくださる方も、募集しています。
• Android に詳しい人
• セキュア設計・セキュアコーディングに知見のある人
• ガイドライン作りに知見のある人
• 翻訳を手伝ってくれる人
• 誤字・脱字を見つけるのが得意な人
みなさん、どんどん使ってくださいね!