森 祥平
Pythonで学ぶWebアプリのセキュアコーディング
脆弱性の見つけ方・直し方が身につく実践入門
ガイド
書誌
| author | 森 祥平 |
| publisher | インプレス |
| year | 2025 |
| price | 3520?tax |
| isbn | 978-4-295-02300-5 |
履歴
| editor | 唯野 |
| 2026.6.18 | 読了 |
| 2026.6.22 | 公開 |
Pythonとあるが実質的にはDjangoを例に取り、今日のWebサイトで求められるセキュリティ全般についてを解説した本。Dockerでサンドボックスを作成し、脆弱性そのものとDjangoでの対策双方を扱っている。また各章末ではセキュリティ業界全般の動向を扱っており、これもよくまとまっており、よかった。
総じてDjnagoを使う方であれば、フレームワーク自身が対策してくれているものが多いとはいえ、一度目を通すだけの価値はあると思う。セキュリティに関しては有名な『安全なWebアプリケーションの作り方』の旧版を読んで以来なので、重複する箇所もあったが復習を兼ねてよい勉強になった。
抄録
29
このようなライブラリの脆弱性はCVE(Common Vulnerabilities and Exposures)という識別番号で管理されています。-/-脆弱性が発見されると、CVE番号が割り当てられ、その情報はCVEデータベースに登録されます。
CVE番号は、-/-「CVE-YYYY-NNNN」の形式で表されます。
-/-NNNNは4桁以上の通し番号です。
CVE番号に加えて、脆弱性の深刻度を評価するためにCVSS(Common Vulnerability Scoring System)スコアも利用されます。CVSSスコアは0.0から10.0までの数値で、数値が高いほど脆弱性の深刻度が高いことを示します。-/-
これと対になるアプリケーション側の脆弱性はCWE(Common Weakness Enumeration)と呼ぶ。cf.20
46
(DjangoのMVTでは:唯野注)ユーザがWebブラウザを通じて-/-アクセスすると、まずDjangoのURL設定(urls.py)がどのViewを呼び出すかを決定します。次に、呼び出されたView(views.py)が必要なデータをModel(models.py)から取得し、取得したデータをTemplate(.html)に渡して最終的なWebページを生成し、ブラウザに表示します。