【ニュースリリース】JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2022年8 月29日版公開
【ニュースリリース】
報道関係各位
2022年8月29日
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』
2022年8 月29日版公開
一般社団法人日本スマートフォンセキュリティ協会
一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の14版目の改定版である2022年8月29日版を公開しました。
https://www.jssec.org/report/20220829_securecoding.html
<2022年8月29日版の改訂内容>
本ガイドでは主に以下を更新しました。
【下記の新しい記事を追加しました】
• 4.1.3.8. マッチしない Intent のブロックについて
• 4.2.3.8. 動的 Broadcast Receiver の安全性の強化
• 4.6.3.8. Android 13(API Level 33)におけるメディアコレクション権限について
• 4.10.3.4. 通知に関する実行時の権限
• 5.2.3.10. 実行時の権限の取り消し
• 5.2.3.11. 新規インストールアプリでの sharedUserId の無効化
【下記の構成・内容を見直し拡充しました】
• 2.4. Android セキュアコーディング関連書籍の紹介
• 2.5. サンプルコードの Android Studio への取り込み手順
• 5.1.3.4. スクリーンキャプチャの無効化
• 5.5.3.6. 位置情報アクセスについて
• 6.1.3.2. Clipboard に格納されている情報の操作
今回は、最新版のAndroid 13における変更点を中⼼に改訂いたしました。Android 13では、動的Broadcast ReceiverやNotificationなど、それまであった機能のうち、安全性の問題について指摘されることがあった機能のセキュリティ強化が変更点の中心となっています。また、セキュアコーディングとの親和性から、OWASP(Open Web Application Security Project)発行のリソースへのリンクについても、参考書籍として追記しています。サンプルコードのAndroid SDKバージョンをAndroid 13(API Level 33)に変更し、Android 13端末でそのまま動作させることが可能なようアップデートしております。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた⽂書です。アプリケーション開発現場で「使う」ことを想定した⽂書構成が特徴です。各テーマの⽂書は、忙しい開発者向けにお⼿本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド⽂書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド2022年8月29日版』
【ガイド文書(HTML)】
https://www.jssec.org/dl/android_securecoding/index.html
【ガイド文書(PDF)】
https://www.jssec.org/dl/android_securecoding.pdf
【サンプルコード一式(ZIP圧縮)】
https://www.jssec.org/dl/android_securecoding.zip
以上
【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail: sec@jssec.org
【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail: press@jssec.org
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
報道関係各位
2022年8月29日
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』
2022年8 月29日版公開
一般社団法人日本スマートフォンセキュリティ協会
一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の14版目の改定版である2022年8月29日版を公開しました。
https://www.jssec.org/report/20220829_securecoding.html
<2022年8月29日版の改訂内容>
本ガイドでは主に以下を更新しました。
【下記の新しい記事を追加しました】
• 4.1.3.8. マッチしない Intent のブロックについて
• 4.2.3.8. 動的 Broadcast Receiver の安全性の強化
• 4.6.3.8. Android 13(API Level 33)におけるメディアコレクション権限について
• 4.10.3.4. 通知に関する実行時の権限
• 5.2.3.10. 実行時の権限の取り消し
• 5.2.3.11. 新規インストールアプリでの sharedUserId の無効化
【下記の構成・内容を見直し拡充しました】
• 2.4. Android セキュアコーディング関連書籍の紹介
• 2.5. サンプルコードの Android Studio への取り込み手順
• 5.1.3.4. スクリーンキャプチャの無効化
• 5.5.3.6. 位置情報アクセスについて
• 6.1.3.2. Clipboard に格納されている情報の操作
今回は、最新版のAndroid 13における変更点を中⼼に改訂いたしました。Android 13では、動的Broadcast ReceiverやNotificationなど、それまであった機能のうち、安全性の問題について指摘されることがあった機能のセキュリティ強化が変更点の中心となっています。また、セキュアコーディングとの親和性から、OWASP(Open Web Application Security Project)発行のリソースへのリンクについても、参考書籍として追記しています。サンプルコードのAndroid SDKバージョンをAndroid 13(API Level 33)に変更し、Android 13端末でそのまま動作させることが可能なようアップデートしております。
<本ガイド概要>
本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた⽂書です。アプリケーション開発現場で「使う」ことを想定した⽂書構成が特徴です。各テーマの⽂書は、忙しい開発者向けにお⼿本となるサンプルコードを紹介したサンプルコードセクション、サンプルコードの背景にあるセキュリティ観点の留意事項をまとめたルールブックセクション、さらにセキュリティの理解を深めるための話題をまとめたアドバンストセクションで構成されています。
【特徴】
・開発者視点で構成された「使える」ガイド⽂書
・コピーペーストして使える安全なサンプルコード付き!「Apache License 2」で商用利用可
・タイムリーなノウハウ共有が前提、継続的な内容拡充・改善
『Android アプリのセキュア設計・セキュアコーディングガイド2022年8月29日版』
【ガイド文書(HTML)】
https://www.jssec.org/dl/android_securecoding/index.html
【ガイド文書(PDF)】
https://www.jssec.org/dl/android_securecoding.pdf
【サンプルコード一式(ZIP圧縮)】
https://www.jssec.org/dl/android_securecoding.zip
以上
【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。
【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail: sec@jssec.org
【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会 事務局
Tel: 03-6757-0159 E-mail: press@jssec.org
*「日本スマートフォンセキュリティ協会」、「日本スマートフォンセキュリティフォーラム」、「JSSEC」は、日本スマートフォンセキュリティ協会の商標です。
*その他、記載されている製品名、社名は各社の商標または登録商標です。
すべての画像