フレームワークのセキュリティ問題

Security

まとめたい。

フレームワークが持つ脆弱性に対して、開発者はどこまで認識すべきか

  • 既知の問題だけ認識すればよいか?
  • 未知の問題に対してどう取り組むべきか

フレームワークを使用する場合、開発者はどこまでテストすべきか

  • フレームワーク固有の問題に関しては一切テストしないと割り切るか
  • 受け付けインタフェースを持つパラメータのテストまではカバーすべきか
  • 受け付けインタフェースを持つパラメータを列挙できるか
  • フレームワークの設計に起因する問題までカバーできるか

フレームワークに起因する脆弱性が検出された場合、どう改修するか

  • パッチが出ていない場合どうするか
  • パッチが出ることを期待出来ない場合どうするか
  • 報告→パッチリリースまでの期間に対するリスクをどう捉えるか
  • ソースに手をいれるか