確立されたセキュリティ設計パターン?
ソフトウェアエンジニアリングでは、設計パターンは、ソフトウェア設計の特定のコンテキスト内で一般的に発生する問題に対する一般的な再利用可能なソリューションです。 Wikipedia には、たとえば多くの異なる設計パターンがリストされていますが、セキュリティについては言及されていません。
Open SAMM セキュアアーキテクチャの監査チェックリストに次の質問を含めます:プロジェクトチームは、アプリケーションアーキテクチャに基づいた規範的な設計パターンを提供されていますか?
私は、コミュニティから最先端の技術と見なされる確立されたセキュリティ設計パターンに出くわしたことはありません。ここに何か不足していますか、そのようなセキュリティ設計パターンはありませんか?
セキュリティについての問題は、それが万能な取引では決してないということです。そのため、対抗しようとする脅威に適用するには、常に設計を適応させる必要があります。優れたセキュリティ設計パターンは、単なる優れたソフトウェア設計パターンです。
ウィキペディアを見ると、いくつかリストされています: http://en.wikipedia.org/wiki/Security_Patterns
また、グーグルで見つけた興味深いウェブサイトもあります。 http://www.securitypatterns.org/patterns.html
または、CERT( http://www.cert.org/archive/pdf/09tr010.pdf )を見ると、いくつかリストされています。以下は、図のリストからの抜粋です。
- カーネルパターンに従う
- 安全な工場パターン構造
- 安全な戦略ファクトリパターン構造
- Secure Builder Factoryのパターン構造
- 責任パターンの安全なチェーンの例
- 責任パターンチェーンの安全なチェーン
- 安全な状態機械パターン構造
- セキュアステートマシンのサンプルコードコラボレーション図
- 安全な訪問者パターン構造
- 安全な訪問者のサンプルコードコラボレーション図
- 安全なロガーパターン構造
- 明確な機密情報パターン構造
- 入力検証パターンの構造
この本 を待っている間、[PDF]コアJEEパターンの保護 2 [PDF]のRohit Sethiの記述を読んで仮定することができます。
また、彼が実行しているプロジェクト コアJ2EE設計パターンのセキュリティ分析 も確認してください。