安全なコーディング・スタンダード

安全なソフトウェアは自然に安全となるわけではありません。組織全体で一貫性のある方法論の適用が必要です。その方法論は明示されたポリシーや目的、指針に則ったものです。その目的は安全なコードを作成するためであり、そのポリシーは全ての開発が策定され伝達された安全なコーディング指針を順守しなければならない事であり、そしてスタッフもそのように教育されています。

全体に渡る高度な安全性保証の確保

オラクル製品が常に高度な安全性保証に基づき開発されている事、そして開発者によくあるコーディング上のミスの回避事を確実にするために、オラクルは正規の安全なコーディング・スタンダードを採用しています。

Oracle Secure Coding Standardsは、安全なコードを生み出す取り組みをしている開発者にとってのロードマップでありガイドとなります。彼らはデザインの指針や一般的な脆弱性などのような、全般的なセキュリティの知識分野に関して議論をし、データの妥当性検証や、データの機密性、CGI、ユーザー管理などのトピックについて具体的なガイダンスを提供しています。

すべてのオラクルの開発者はこのスタンダードに精通し、製品のデザイン及び制作の際にはこれを適用しなければなりません。コーディング・スタンダードは何年もかけて発展し、オラクル社内の製品評価チームによる継続的な脆弱性のテストから学んだ教訓およびベストプラクティスを取り込んでいます。オラクルは安全なコーディングのトレーニングの受講を義務付け、開発者がコーディング・スタンダードに精通するようにしています。Oracle Secure Coding Standardsは Oracle Software Security Assurance の重要な構成要素であり、そのスタンダードの順守はすべてのオラクル製品の有用年数の間、評価され、検証されます。

Oracle Secure Coding Standardsの動的性質

Oracle Secure Coding Standardsは、オラクルのコードに影響する最も一般的な問題、洞察と学んだ教訓、発見された新たな脅威、そしてオラクルのお客様による新しい使い方に取り組むために、長い期間をかけて発展と進化を遂げてきました。セキュア・コーディング・スタンダードはソフトウェア開発において、孤立したものではなく、事後に添付される補足でもありません。それらは、C/C++やJava、PL/SQLなどの言語に特有のスタンダードに不可欠なもので、Oracle Software Security Assurance プログラムとプロセスの重要な基礎となっています。

開発者向けトレーニングの重要性

オラクルでは長年にわたり、Secure Coding Standardsに基づいたトレーニングを社内で発展させてきました。オラクルでは、開発者だけでなく、プロダクト・マネジメント、リリース・マネジメントそして品質保証のスタッフを含めた製品開発部門に、継続的に、このトレーニングを提供しています。トレーニングは個々の一般社員に限られたものではなく、バイス・プレジデントを含めたマネージャー以上にもSecure Codingのトレーニングクラスの受講を義務付けられています。この継続的な教育により、開発者は安全なコーディングのあらゆる側面に精通しており、そして、高品質な製品を作り上げるための高度なスタンダードがオラクル社にあることを熟知しています。