ここで説明するフェーズは、SDLCの実装フェーズです。このフェーズでは、実際の開発が開始され、製品の構築が始まります。チームは実装フェーズの主要な活動であるコードを積極的に記述します。このフェーズでは、設計と仕様を実行可能なコードに変換し、ソフトウェアの機能を開発し、様々なコンポーネントを本格的なシステムに統合します。
:
ソフトウェア開発ライフサイクル (SDLC): 7 つのフェーズと 5 つのモデル1。
ソフトウェア開発ライフサイクルとは何ですか? SDLC の説明2.
SDLC: ソフトウェア製品開発ライフサイクルの 6 つの主要な段階3.
ソフトウェア開発ライフサイクル (SDLC) のフェーズとモデル4.

セキュリティ成熟度モデル構築（BSIMM）におけるインテリジェンス領域は、ソフトウェアセキュリティに関する情報の収集と活用に重点を置いています。これには、開発中のソフトウェアに対して起こり得る攻撃の種類を理解することも含まれ、攻撃モデルのレビューはこの領域に含まれます。BSIMMのインテリジェンス領域には、ソフトウェアに対する潜在的な攻撃のモデル（攻撃モデル）の作成、実際に発生した攻撃の分析（攻撃インテリジェンス）、そしてこの情報を共有してセキュリティ対策を改善することが含まれます。攻撃モデルのレビューを通じて、ソフトウェアセキュリティグループは、潜在的なセキュリティ脅威を予測し理解する組織の能力を本質的に評価しており、これはインテリジェンス領域の重要な側面です。
参考資料: この回答を検証するために使用された参考資料には、BSIMM フレームワーク 12345 内のさまざまなドメインとそのアクティビティを説明する公式の BSIMM ドキュメントと関連リソースが含まれます。

ここで説明するフェーズは、SDLCの計画フェーズです。この初期段階では、ビジネス要件の収集とプロジェクトの実現可能性の評価が行われます。通常、企業の経営陣はIT部門やその他の関係者と会合を開き、将来のビジョンを共有し、潜在的な収益源について議論し、開発を進める前にプロジェクトの方向性を決定します。このフェーズは、SDLCの以降のすべてのフェーズの基礎を築く上で非常に重要です。
参考文献:
* ソフトウェア開発ライフサイクル (SDLC): 7 つのフェーズと 5 つのモデル1。
* ソフトウェア開発ライフサイクルとは何ですか? SDLC の説明2.
* ソフトウェア開発ライフサイクル (SDLC) のフェーズとモデル3.

静的解析は、コードを実行せずにソフトウェアの脆弱性を検出する手法です。コードベースを検査し、SQLインジェクション脆弱性などのセキュリティ問題を示唆するパターンを探します。この手法は、コードの構造、構文、データフローを分析することで、潜在的な脅威や弱点を特定することができます。
参考文献:
* セキュリティの脆弱性を特定する手段としての静的分析1。
* セキュリティ問題を防ぐための SDLC の初期段階での静的分析の重要性2。
* 静的分析を使用して SQL インジェクションの脆弱性を修正するための学習ベースのアプローチ3。

セキュアなソフトウェア開発プロセス（CIAトライアドとも呼ばれる）の3つの主要な目標は、機密性、整合性、可用性です。これらの原則は、ソフトウェア開発ライフサイクル（SDLC）におけるセキュリティの考慮事項の基盤となります。
* 機密性は、機密情報へのアクセスが承認された個人およびシステムのみに限定されることを保証します。これには、アクセス制御と暗号化を実装して、不正アクセスからデータを保護することが含まれます。
* 整合性とは、データのライフサイクル全体にわたってデータの正確性と一貫性を維持することを指します。これは、データが不正な主体によって変更または改ざんされないことを意味します。チェックサムやデジタル署名などの技術は、データの整合性を確保するのに役立ちます。
* 可用性とは、必要なときに許可されたユーザーが情報やリソースにアクセスできることを保証することです。これには、攻撃に耐え、あらゆる中断から迅速に回復できる、回復力の高いシステムの構築が含まれます。
これらのセキュリティ目標を計画と設計から開発、テスト、保守に至るまでの SDLC の各フェーズに統合することで、組織はサイバー脅威に強い、より安全なソフトウェア システムを作成できます。
参考資料: ここで提供される情報は、Snyk1、GeeksforGeeks2、SAFECode3 などのソースで概説されているセキュア ソフトウェア設計ドキュメントおよび分野のベスト プラクティスに従って検証されています。