セキュアなソフトウェア開発プロセス（CIAトライアドとも呼ばれる）の3つの主要な目標は、機密性、整合性、可用性です。これらの原則は、ソフトウェア開発ライフサイクル（SDLC）におけるセキュリティの考慮事項の基盤となります。
* 機密性は、機密情報へのアクセスが承認された個人およびシステムのみに限定されることを保証します。これには、アクセス制御と暗号化を実装して、不正アクセスからデータを保護することが含まれます。
* 整合性とは、データのライフサイクル全体にわたってデータの正確性と一貫性を維持することを指します。これは、データが不正な主体によって変更または改ざんされないことを意味します。チェックサムやデジタル署名などの技術は、データの整合性を確保するのに役立ちます。
* 可用性により、必要なときに許可されたユーザーが情報やリソースにアクセスできるようになります。
これには、攻撃に耐え、あらゆる中断から迅速に回復できる回復力のあるシステムの作成が含まれます。
これらのセキュリティ目標を計画と設計から開発、テスト、保守に至るまでの SDLC の各フェーズに統合することで、組織はサイバー脅威に強い、より安全なソフトウェア システムを作成できます。
参考資料: ここで提供される情報は、Snyk1、GeeksforGeeks2、SAFECode3 などのソースで概説されているセキュア ソフトウェア設計ドキュメントおよび分野のベスト プラクティスに従って検証されています。

共通脆弱性評価システム (CVSS) では、次の範囲を使用して脆弱性の重大度評価を決定します。
* 0.1 - 3.9: 低重症度
* 4.0 - 6.9: 中程度の重症度
* 7.0 - 8.9: 重症度が高い
* 9.0 - 10.0: 重大な深刻度
脆弱性の調整されたスコアは 5.9 であるため、重大度は「高」の範囲に該当します。
参考文献:
* CVSS v3.1 仕様書 - FIRST: https://www.first.org/cvss/specification-document
* 国家脆弱性データベース (NVD) - NIST: https://nvd.nist.gov/vuln-metrics/cvss

ソフトウェアセキュリティチームが、セキュリティ開発ライフサイクルの各フェーズと実行する分析の種類をマッピングした詳細なスケジュールを作成する上で役立つ成果物は、セキュリティテスト計画です。この計画は、ソフトウェアが必要なセキュリティ基準を満たしていることを確認するために、開発ライフサイクル中に実施するテスト戦略と具体的なセキュリティテストを概説するため、非常に重要です。
* セキュリティテスト計画は、要件定義と設計フェーズの後に策定され、実装、検証、リリースの各フェーズを通じて使用されます。セキュリティテスト計画には、セキュリティテストの詳細な手順、成功基準、そして実施するセキュリティテストの種類（静的・動的解析、侵入テスト、コードレビューなど）が含まれます。
* これらの計画は、新たな脅威が特定され、プロジェクトが進展するにつれて更新されるべき、常に更新される文書です。これにより、チームメンバー全員がセキュリティ目標、リスク、そしてそれらのリスクを軽減するために必要な対策を理解できるようになります。
* 明確に定義されたセキュリティ テスト プランを用意することで、チームはセキュリティが後付けではなくソフトウェア開発ライフサイクルのすべてのフェーズに統合され、より安全なソフトウェアを作成できるようになります。
参考資料: ソフトウェア開発ライフサイクルにおけるセキュリティ テスト プランの重要性は、Microsoft のセキュリティ開発ライフサイクル 1 や Snyk の安全なソフトウェア開発ライフサイクル原則 2 などのソースからのベスト プラクティスとガイドラインによって裏付けられています。