すべてのソフトウェアに欠陥があります。特に今日の複雑なコードには、何千行も記述しなければなりません。 Institute of Electrical and Electronics Engineers(IEEE)は、このジレンマを認識しています。 IEEEは2014年から、新しい構想を発表しました。それは、セキュアデザインのためのコンピューターソサエティセンター(CSD)です。 それは使命ですか? 侵害に対して脆弱なソフトウェアシステムを認識し、強力で識別可能なセキュリティプロパティを持つソフトウェアシステムを設計および構築するためのガイダンスを提供する
それは以前に行われたと言うかもしれません。 それは本当です。 ただし、CSDは、ソフトウェアアーキテクトが相互に学習できることを期待して、セキュリティの重点をバグの発見から一般的な設計上の欠陥の特定にシフトすることにより、異なるアプローチを採用する予定です。
この種の情報を取得するために、CSDはソフトウェアセキュリティの分野で退役軍人の助けを求めました。多かれ少なかれ、前述の間違いを犯したか、またはそれらを修正した人です。 十分に検討した後、グループは「トップ10ソフトウェアセキュリティ設計の欠陥を回避する」という論文で考えをまとめました。 IEEEは、このリストを作成した欠陥の多くは何十年も前からよく知られているが、引き続き問題であると述べました。 ここでは、これらの欠陥とその修正方法を見ていきます。
