ガイドラインの観点別マッピング ================================================================================ ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。 セキュリティ対策に関するマッピング -------------------------------------------------------------------------------- \ `OWASP Top 10 for 2013 `_\ を軸として、 セキュリティに関連する機能の説明へのリンクを記載する。 .. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}| .. list-table:: :header-rows: 1 :widths: 10 40 50 * - 項番 - 項目名 - 関連するガイドライン * - A1 - `Injection `_ SQL Injection - * \ :doc:`../ArchitectureInDetail/DataAccessJpa`\ * \ :doc:`../ArchitectureInDetail/DataAccessMybatis2`\ (クエリにパラメータを埋め込む場合は、バインド変数を使用する旨を記載) * - A1 - `Injection `_ XXE(XML External Entity) Injection - * \ :doc:`../ArchitectureInDetail/Ajax`\ * - A2 - `Broken Authentication and Session Management `_ - * \ :doc:`../Security/Authentication`\ * - A3 - `Cross-Site Scripting (XSS) `_ - * \ :doc:`../Security/XSS`\ * - A4 - `Insecure Direct Object References `_ - 特に言及なし * - A5 - `Security Misconfiguration `_ - * \ :doc:`../ArchitectureInDetail/Logging`\ (ログのメッセージ内容に言及) * \ :ref:`exception-handling-how-to-use-codingpoint-jsp-exceptioncode-label`\ (システム例外時に出力するメッセージ内容に言及) * - A6 - `Sensitive Data Exposure `_ - * \ :doc:`../ArchitectureInDetail/PropertyManagement`\ * \ :doc:`../Security/PasswordHashing`\ (パスワードハッシュにのみ言及) * - A7 - `Missing Function Level Access Control `_ - * \ :doc:`../Security/Authorization`\ * - A8 - `Cross-Site Request Forgery (CSRF) `_ - * \ :doc:`../Security/CSRF`\ * - A9 - `Using Components with Known Vulnerabilities `_ - 特に言及なし * - A10 - `Unvalidated Redirects and Forwards `_ - * \ :doc:`../Security/Authentication`\ (オープンリダイレクタ脆弱性対策について言及) .. raw:: latex \newpage