JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2018年9月1日版【簡体字版】公開
[19/07/09]
提供元:@Press
提供元:@Press
一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 安田 浩)の技術部会 アプリケーションWG「セキュアコーディンググループ」(以下 本グループ:リーダー 小木曽 純)は、2012年6月に公開した『Androidアプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の改訂版となる2018年9月1日版の簡体字版を公開しました。
なお、本ガイドの簡体字版は、公益財団法人電気通信普及財団の助成を受けた取り組みの一環となります。
<2018年9月1日版の改訂内容>
本ガイドでは主に以下を更新しました。
改訂内容
(Android 8.0/8.1対応)
・WebViewのSafe Browsingについて記事を追加(4.9.3.4)
・SharedMemory APIの安全な使い方について記事を追加(4.11)
(Android 9.0対応)
・Autofill Serviceのパッケージ情報を利用して身元確認を行うセキュリティ対策を追加(4.1.3.7)
・新規のパッケージ署名検証APIの説明を追加(5.2.1.2)
・サーバー証明書の検証でSANのみが使用されることになったことを追記(5.4.1.2)
・cleartextTrafficPermittedのデフォルトがtrueになったことによる記事の改訂(5.4.3.7)
・BiometricPrompt APIを用いたサンプルコードを追加(5.7)
(その他)
・サンプルコードのAndroid Studioへの取り込み手順をアップデート(2.5)
・SQLCipherについての記載内容を最新にアップデート(4.5.3.6)
・Android OSのシェア情報を最新にアップデート(5.4.3.8)
今回は、前回2018年2月1日版で一部対応の間に合わなかったAndroid 8.0/8.1への対応および最新版のAndroid 9.0における変更点を中心に記事の内容を修正・追加いたしました。アプリケーション間でメモリを共有することで高速なデータ転送が可能となるSharedMemory、WebViewで悪意のあるサイトを表示させないための仕組みであるSafeBrowsing、8.0で追加され9.0でセキュリティ上の改善が行われたAutofillフレームワーク等に関して、仕組みやセキュリティ上の注意点の記述を加えて記事として掲載するとともに、いくつかの記事において掲載内容を最新の状態にアップデートしております。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド2018年9月1日版』簡体字版
【ガイド文書(HTML)】
https://www.jssec.org/dl/android_securecoding_cn/1_introduction.html
【サンプルコード一式(ZIP圧縮)】
https://www.jssec.org/dl/android_securecoding_en.zip
【日本スマートフォンセキュリティ協会について】
2011年5月設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel : 03-6757-0159
E-mail: sec@jssec.org
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
なお、本ガイドの簡体字版は、公益財団法人電気通信普及財団の助成を受けた取り組みの一環となります。
<2018年9月1日版の改訂内容>
本ガイドでは主に以下を更新しました。
改訂内容
(Android 8.0/8.1対応)
・WebViewのSafe Browsingについて記事を追加(4.9.3.4)
・SharedMemory APIの安全な使い方について記事を追加(4.11)
(Android 9.0対応)
・Autofill Serviceのパッケージ情報を利用して身元確認を行うセキュリティ対策を追加(4.1.3.7)
・新規のパッケージ署名検証APIの説明を追加(5.2.1.2)
・サーバー証明書の検証でSANのみが使用されることになったことを追記(5.4.1.2)
・cleartextTrafficPermittedのデフォルトがtrueになったことによる記事の改訂(5.4.3.7)
・BiometricPrompt APIを用いたサンプルコードを追加(5.7)
(その他)
・サンプルコードのAndroid Studioへの取り込み手順をアップデート(2.5)
・SQLCipherについての記載内容を最新にアップデート(4.5.3.6)
・Android OSのシェア情報を最新にアップデート(5.4.3.8)
今回は、前回2018年2月1日版で一部対応の間に合わなかったAndroid 8.0/8.1への対応および最新版のAndroid 9.0における変更点を中心に記事の内容を修正・追加いたしました。アプリケーション間でメモリを共有することで高速なデータ転送が可能となるSharedMemory、WebViewで悪意のあるサイトを表示させないための仕組みであるSafeBrowsing、8.0で追加され9.0でセキュリティ上の改善が行われたAutofillフレームワーク等に関して、仕組みやセキュリティ上の注意点の記述を加えて記事として掲載するとともに、いくつかの記事において掲載内容を最新の状態にアップデートしております。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。アプリケーション開発現場で「使う」ことを想定した文書構成が特徴です。各テーマの文書は、忙しい開発者向けにお手本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド文書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド2018年9月1日版』簡体字版
【ガイド文書(HTML)】
https://www.jssec.org/dl/android_securecoding_cn/1_introduction.html
【サンプルコード一式(ZIP圧縮)】
https://www.jssec.org/dl/android_securecoding_en.zip
【日本スマートフォンセキュリティ協会について】
2011年5月設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel : 03-6757-0159
E-mail: sec@jssec.org
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。