下記 2 つは必読。
- IPA 独立行政法人 情報処理推進機構:安全なウェブサイトの作り方
- 同ページにある「セキュリティ実装チェックリスト」を作る際のチェックリストに
- 体系的に学ぶ 安全なWebアプリケーションの作り方
『安全なウェブサイトの作り方』の『失敗例』を理解すること。
それぞれの原因と対策をまとめてください。テストに出ますよ。
誰かが GitLab に commit された内容を読んで、脆弱性がないか確認しましょう。
- ホワイトリスト形式
- 自分で作らず、信頼と実績のライブラリ利用
- 侵入者の視点を持つ