テクニカルエンジニア(セキュリティ)
まだ、勉強するための本を買っていないので出題範囲などよくわかっていないのですが、(id:TakamiChie)によると、セキュアプログラミングとして、Perl,C++,Javaが出題されるようである。
セキュアプログラミングね。たしか、IPAのコンテンツの一つとしてこんなのがあったなと思い出して、みてみる。
IPA セキュア・プログラミング講座:IPA 独立行政法人 情報処理推進機構
IPA自身のコンテンツでこんなことが書いてあるので、きっとその辺のことが出てくるに違いないと思う。項目をメモしてみる。
- 共通編(Web)
- クライアント側チェックは安全でない。
- クロスサイトスクリプティング
- Webページとユーザ認証
- リクエストリングから情報が漏れる
- hiddenは危険
- Webフォームの選択項目が危ない
- 言語編(C/C++)
- バッファオーバーランその1「こうして起こる」
- バッファオーバーランその2「危険な関数たち」
- 文字列処理の落とし穴
- サブシェル呼び出しは慎重に
- メモリリーク
- C++デストラクタによる安全な資源解放
- 方法論編(セキュアな実装)
- パスワードの取り扱い
- 入力値チェックの手法
- エラーメッセージからの情報漏洩
- 特権処理の局所化
- 方法論編(より強固なソフトウェア構築)
- 設計段階からのセキュリティ
- 再利用と部品化
- モジュール分割は何度も練る
こんなところか。とりあえず、IPAの資料だけに重要度は高いといえる。