該当する結果がありません

一致する検索結果がありませんでした

お探しのものを見つけるために、以下の項目を試してみてください。

  • キーワード検索のスペルを確認してください。
  • 入力したキーワードの同義語を使用してください。たとえば、「ソフトウェア」の代わりに「アプリケーション」を試してみてください。
  • 下記に示すよく使用される検索語句のいずれかを試してみてください。
  • 新しい検索を開始してください。

 

急上昇中の質問

Oracle E-Business Suite

Oracle E-Business Suiteは、進化し続ける今日のビジネス・モデルをサポートし、生産性を高め、現代のモバイル・ユーザーの要求に応えます。

セキュリティ分析とテスト

概要

オラクルのコードのセキュリティ・テストには、製品の機能と品質を検証するための機能アクティビティと非機能アクティビティの両方があります。これらのタイプのテストではターゲットとなる製品機能が重複することが多いですが、それぞれの目的は交わっており、別々のチームによって実行されます。機能セキュリティ・テストと非機能セキュリティ・テストは、オラクル製品のセキュリティ・サポートが包括的なものになるよう、相互に補完し合っています。

機能セキュリティ・テスト

機能セキュリティ・テストは、通常の製品QAチームによって、標準の製品テスト・サイクルの一環として実行されるのが一般的です。QAエンジニアはこのテストで、アーキテクチャやチェックリストのレビュー・プロセスにおいて、実装されたセキュリティ機能が、機能仕様書で前回合意した内容に適合していることを検証します。

セキュリティ保証分析とテスト

セキュリティ保証分析とテストでは、さまざまなタイプの攻撃に対するオラクル製品のセキュリティ品質を検証します。オラクル製品のテストに使われるテストには、大まかな2つのカテゴリがあります。静的分析と動的分析がそれに当たり、後続の項で詳しく説明します。これらのテストは、製品開発ライフサイクルへの適合性が異なり、カテゴリが違う問題を検出する傾向があるため、オラクルの製品チームはこれらを一緒に使用しています。

静的分析

ソース・コードの静的セキュリティ分析は、製品開発サイクルで使用される最初の防御線です。オラクルでは、Hewlett Packardの一企業あるFortify Softwareの静的コード・アナライザの他に、内部で開発されたさまざまなツールを使用して、コードの記述中に問題を見つけています。最新のプログラミング言語(C/C++、Java、C#など)とプラットフォーム(J2EE、.NET)で開発した製品は、可能性のあるセキュリティの問題を識別するためにスキャンされます。このチェックは、C/C++コードのバッファ・オーバーフローやメモリー・リーク、J2EEと.NETのリソース処理の問題、資格証明の不適切な処理やさまざまなインジェクション、不適切なシステム構成などの検出に非常に効果があります。この分析の難点の1つは、高いレベルで誤検出がレポートされることです。つまり、レポートされるアイテムの相当数が実際には問題ではないということです。通常は、これらのスキャン・レポートの分析には、製品コードに精通した製品チームのシニア・エンジニアが関わり、実際の問題と誤検出を区別し、誤検出の数を減らします。

動的分析

動的分析アクティビティは、製品開発の後半フェーズで常に実行されています。最低限、製品またはコンポーネントを実行できる必要があります。オラクルの組織間で変わる場合もありますが、このアクティビティは、セキュリティQAチーム(または同様の専門グループ)が対応するのが通常で、複数の製品チームが共有する場合もあります。動的分析の対象は、外部に表示される製品インタフェースやAPIで、テストには専門ツールが使用されることが多いです。オラクルでは、手動ツールと自動ツールの両方を使用してテストを実施します。自動ツールでは、曖昧化する技術でネットワークにアクセス可能な製品インタフェースやプロトコルをテストします。一方、手動ツールでは手作業で変更を行う必要がありますが、正確度と精度がはるかに高まります。