脅威エクスプロイトの潜在的な被害レベルに基づいてリスク評価を行うDKEADカテゴリは、「損害の可能性」です。このカテゴリは、脅威が攻撃者に悪用された場合に発生する可能性のある損害または影響の総量を評価します。このカテゴリのリスク評価は、潜在的な損害の重大度を評価することで決定されます。損害の重大度は、情報漏洩からシステム全体の破壊、あるいはシステム可用性の喪失に至るまで多岐にわたります。
:
DREAD脅威モデル1
OWASP リスク評価方法2
DREAD 脅威モデリング：定性リスク分析入門3

データフロー分析は、手動のコードレビュー手法であり、レビュー担当者は、ソフトウェアへのエントリポイント（入力制御）からアプリケーション内での処理と操作、そして出口ポイント（出力）までのデータのパスを追跡します。この手法は、データがアプリケーションのライフサイクル全体を通じて安全に処理されていることを確認し、不適切なデータ処理によって生じる可能性のある潜在的なセキュリティ脆弱性を特定するために使用されます12

手動ピアレビューとは、ソフトウェアのソースコードを元の作者以外の開発者が体系的に検査することを指します。この方法は、ソフトウェアの欠陥を減らし、ソフトウェアプロジェクトの品質を向上させるための貴重なツールとして認識されています。開発者がコードを検査し、開発初期段階で見落とされたミスを発見・修正することで、ソフトウェア全体の品質と開発者のスキルの両方が向上します。
ピア コード レビューは、過去に実行されたコード検査よりも形式的ではなく、より「軽量」であり、知識の伝達、チームの認識の向上、問題に対する代替ソリューションの作成などの利点をもたらします。
参考文献:
* 現代のコードレビューの期待、成果、課題1
* ソフトウェアエンジニアリング入門/品質/コードレビュー2
* 現代のコードレビューにおけるソフトウェアセキュリティ：開発者の視点3

機密情報を含むping要求に応答するサーバーの脆弱性を修正するには、ネットワーク要求に対してできるだけ少ない情報を返すようにサーバーを構成する必要があります。この方法は、攻撃対象領域の縮小と呼ばれます。開示される情報の量を制限することで、潜在的な攻撃者が脆弱性を悪用しようとする際に利用できるデータが少なくなります。定期的なアップデートとパッチ適用（オプションB）も重要ですが、情報漏洩という具体的な問題に対処するものではありません。
不要な機能をアンインストールまたは無効化する (オプション C)、および構成ファイルへのアクセスを制限する (オプション D) ことは、セキュリティ対策としては有効ですが、ping 応答によるサーバー情報の漏洩を直接防ぐことはできません。
: 修復手順は、脆弱性の発見、優先順位付け、修正、および機密情報の漏洩を最小限に抑えるためのサーバーの構成など、脆弱性管理のベストプラクティスに準拠しています123。

ファイルのアップロード前に認証を必須とし、アップロード可能なファイルの種類を業務上必要な種類に限定するというセキュアコーディングのベストプラクティスは、ファイル管理のカテゴリーに該当します。このプラクティスは、不正なファイルアップロードを防ぐために不可欠です。不正なファイルアップロードは、悪意のあるファイルやスクリプトのアップロードといった攻撃の一般的な手口となる可能性があります。認証を強制することで、アプリケーションは正当なユーザーのみがファイルをアップロードできるようにします。さらに、ファイルの種類を業務運営に必要な種類に限定することで、システムを侵害する可能性のある有害なファイルをアップロードするリスクを最小限に抑えることができます。
参考文献:
* OWASPセキュアコーディングプラクティス1
* ファイルアップロードのセキュリティに関するベストプラクティス | CodeHandbook2
* ファイルアップロード保護 - 不正アクセスを防ぐための 10 のベストプラクティス - OPSWAT3