Ruby on Railsのセキュリティガイドブックが公開

Ruby on Railsのセキュリティガイド「Ruby on Rails Security guide」をドイツの企業が公開した。Webアプリケーション層をターゲットとした攻撃の増加が予想される中で一読の価値がある。

[末岡洋子，SourceForge.JP Magazine]

　ドイツのWebアプリケーションセキュリティコンサル企業らが設立したRuby on Rails Security Projectは11月4日、Ruby on Rails（RoR）のセキュリティガイド「Ruby on Rails Security guide」を公開した。HTMLまたはeブック形式で無料で閲覧できる。

　 RoRアプリケーションを安全にするためのガイドブックで、ドイツ在住の開発者で同プロジェクトのオーナーでもあるヘイコ・ウェーバー氏が作成した。セッション、クロスサイトリファレンス偽造（CSRF）、アカウントハイジャックやCAPTCHAsなどのユーザー管理、SQLインジェクションやクロスサイトスクリプティングなどのインジェクションなどの項目について、説明や具体的なアドバイスを綴っている。

　ウェーバー氏は、RoRのようなWebアプリケーションフレームワークは正しく利用すれば安全なアプリケーションを構築できるとしながらも、Webアプリケーション層をターゲットとした攻撃の増加が予想されていることにも触れている。

　ウェーバー氏は今週ポルトガルで開催される「OWASP EU Summit 2008」にてRuby on Rails Security guideを正式に発表する。

編集者の一言

　Webアプリケーション開発フレームワークとして人気の高いRuby on Rails。9月にはバージョン2.1もリリースされたが、今回のようなガイドブックの登場は、RoRの利用を促進することになるだろう。英語の資料ではあるが、具体的なコードも多く登場しているので、比較的読み進めやすいように感じる。一読の価値はあるだろう。（西尾泰三）