📗
owasp-masvs-ja
  • OWASP MASVS ja
  • OWASP モバイルアプリケーションセキュリティ検証標準 v2 日本語版
    • 序文
    • 本標準について
    • モバイルアプリケーションセキュリティ検証標準
    • 監査と認定
  • MASVS-STORAGE: ストレージ
    • MASVS-STORAGE: ストレージ
      • MASVS-STORAGE-1
      • MASVS-STORAGE-2
  • MASVS-CRYPTO: 暗号
    • MASVS-CRYPTO: 暗号
      • MASVS-CRYPTO-1
      • MASVS-CRYPTO-2
  • MASVS-AUTH: 認証と認可
    • MASVS-AUTH: 認証と認可
      • MASVS-AUTH-1
      • MASVS-AUTH-2
      • MASVS-AUTH-3
  • MASVS-NETWORK: ネットワーク通信
    • MASVS-NETWORK: ネットワーク通信
      • MASVS-NETWORK-1
      • MASVS-NETWORK-2
  • MASVS-PLATFORM: プラットフォーム連携
    • MASVS-PLATFORM: プラットフォーム連携
      • MASVS-PLATFORM-1
      • MASVS-PLATFORM-2
      • MASVS-PLATFORM-3
  • MASVS-CODE: コード品質
    • MASVS-CODE: コード品質
      • MASVS-CODE-1
      • MASVS-CODE-2
      • MASVS-CODE-3
      • MASVS-CODE-4
  • MASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性
    • MASVS-RESILIENCE: リバースエンジニアリングと改竄に対する耐性
      • MASVS-RESILIENCE-1
      • MASVS-RESILIENCE-2
      • MASVS-RESILIENCE-3
      • MASVS-RESILIENCE-4
  • MASVS-PRIVACY: プライバシー
    • MASVS-PRIVACY: プライバシー
      • MASVS-PRIVACY-1
      • MASVS-PRIVACY-2
      • MASVS-PRIVACY-3
      • MASVS-PRIVACY-4
Powered by GitBook
On this page

Was this helpful?

  1. MASVS-CODE: コード品質

MASVS-CODE: コード品質

PreviousMASVS-PLATFORM-3NextMASVS-CODE-1

Last updated 2 years ago

Was this helpful?

モバイルアプリには UI、IPC、ネットワーク、ファイルシステムなど多くのデータエントリポイントがあり、信頼できないアクターによって気付かぬうちに変更されたデータを受け取る可能性があります。このデータを信頼できない入力として扱い、使用する前に適切に検証しサニタイズすることで、開発者は SQL インジェクション、XSS、安全でないデシリアライズなどの従来のインジェクション攻撃を防ぐことができます。しかし、メモリ破損の欠陥など他の一般的なコーディングの脆弱性はペネトレーションテストで検出するのは困難ですが、セキュアアーキテクチャとコーディングプラクティスで簡単に防ぐことができます。開発者は や などのベストプラクティスに従って、これらの欠陥が最初から持ち込まれないようにする必要があります。

このカテゴリはアプリのデータエントリポイント、OS、サードパーティのソフトウェアコンポーネントなどの外部ソースから発生するコーディングの脆弱性を対象としています。開発者はすべての入力データを検証してサニタイズし、インジェクション攻撃やセキュリティチェックのバイパスを防ぐ必要があります。また、アプリの更新を強制し、既知の脆弱性からユーザーを保護するためにアプリが最新のプラットフォームで動作することを確保する必要もあります。

OWASP Software Assurance Maturity Model (SAMM)
NIST.SP.800-218 Secure Software Development Framework (SSDF)