該当する結果がありません

一致する検索結果がありませんでした。

包括的な安全性の分析とテスト

オラクルにおける安全性テストは製品の特性と品質の検証を目的とした、機能的および非機能的な作業の両方が含まれます。これらのタイプのテストは多くの場合、重複する製品機能を対象としていますが、これらはそれぞれ独立した(オルソゴナルな)目的が設定されており、別々のチームによって実行されます。機能的および非機能的な安全性テストは、オラクル製品の包括的な安全性のカバレッジを保証するために相互に補完し合います。

機能の安全性テスト

一般的に、機能の安全性テストは、通常の製品のテスト・サイクルの一部として、通常の製品の品質保証チームにより実行されます。テスト中、品質保証のエンジニアは、アーキテクチャやチェックリストの評価の過程を通して機能仕様(書)内でこれまでに承諾されている機能と、実装されたセキュリティ機能との適合を検証します。

安全性保証の分析とテスト

安全性保証の分析とテストは、さまざまなタイプの攻撃に対するオラクル製品の安全性の品質を立証します。オラクル製品に用いられるテストには2つの広範囲のカテゴリがあります。静的分析と動的分析です。さらに詳細は以下のセクションに記載があります。これらのテストは製品開発ライフサイクルの中で別々に適合し、異なるカテゴリーの問題を発見しやすくなります。そのため、これらはオラクルの製品チームにより併用されます。

静的分析

ソースコードの静的な安全性分析は、製品の開発サイクルの間に使われる初期の防衛線です。オラクルはコーディング時の問題を掴むため、静的コードの分析ツールであるHP社のFortify Softwareやさらに、社内の様々な開発ツールを利用しています。最新のプログラミング言語(たとえばC/C++、Java、C#)やプラットフォーム(J2EE、.NET)で開発される製品では、起こりうる可能性の高い安全性の問題を特定するために走査(スキャン)されます。このようなタイプの検証作業は、C/C++のコードでのバッファー・オーバーフローやメモリー・リークの識別、J2EE や.NETでのリソース・ハンドリングの問題、不正な認証情報の操作の発見、さまざまなインジェクション、誤ったシステム構成などに対し大変有用です。このタイプの分析の欠点のひとつとなっているのは、高レベルの誤判定レポートです。- 例)報告された項目の相当数が本来の結果反映していないなど。通常、このようなスキャン・レポートの分析には、製品のコードに熟知し、本当の問題を誤判定と選別することが可能で、さらに Fortifyの分析と誤判定の数を減らすためのルールの記述にたけている製品チームのシニア・エンジニアが関わっています。

動的分析

動的な分析の作業は、常に製品開発の(少なくとも、製品あるいはコンポーネントが実行できるはずの)後半のフェーズで実施されます。これはオラクル社の組織により差はありますが、通常この作業は、複数の製品チームで共有されているセキュリティQAチーム(あるいは、同じような専門グループ)により実施されます。動的分析は、外部から知見できる製品のインターフェースとAPIを狙いとし、多くの場合テスト用の専門ツールに頼っています。手動・自動ツールはどちらもオラクル社内でテストに使用されます。自動ツールではネットワーク・アクセスをする製品のインターフェースとプロトコルをテストするためにファジングの技術を用いており、手動ツールでは手作業で修正を加える必要がありますが、正確度と精度を非常に高める事ができます。