Ruby on Railsのセキュリティガイドブックが公開

 ドイツのWebアプリケーションセキュリティコンサル企業らが設立したRuby on Rails Security Projectは11月4日、Ruby on Rails(RoR)のセキュリティガイド「Ruby on Rails Security guide」を公開した。HTMLページまたはeブック形式で無料で閲覧できる。

 RoRアプリケーションを安全にするためのガイドブックで、ドイツ在住の開発者で同プロジェクトのオーナーでもあるHeiko Webers氏が作成した。セッション、クロスサイトリファレンス偽造(CSRF)、アカウントハイジャックやCAPTCHAsなどのユーザー管理、SQLインジェクションやクロスサイトスクリプティングなどのインジェクションなどの項目について、説明や具体的なアドバイスを綴っている。

 Webers氏は、RoRのようなWebアプリケーションフレームワークは正しく利用すれば安全なアプリケーションを構築できるとしながらも、Webアプリケーション層をターゲットとした攻撃の増加が予想されていることにも触れている。

 Webers氏は今週ポルトガルで開催される「OWASP EU Summit 2008」にてRuby on Rails Security guideを正式に発表する。

Ruby on Rails Security Project
http://www.rorsecurity.info

Ruby On Rails Security Guide(HTML版)
http://guides.rubyonrails.org/security.html

Ruby On Rails Security Guide(eブック版)
http://www.rorsecurity.info/the-book