「セキュアなソフトウェアの設計と開発」に至る道筋

ここまでの道筋（3冊）

1. 1 / 3OAuth徹底入門上級

   なぜ先に読むのか: OAuth 2.0は本来「認可」のプロトコルで、それを誤用した擬似認証は脆弱性の温床になる。本人確認を標準化したOIDCへ進むことで、IDトークン検証を含む正しい認証の組み立てが分かる。

   出典

   • How OpenID Connect Works - OpenID Foundation
2. 2 / 3OpenID Connect入門上級

   なぜ先に読むのか: 認証・認可を仕組みとして実装できるようになったら、視点を一段上げる。セキュア・バイ・デザインは、入力検証やエスケープという対症療法を越え、設計段階で不正なデータが入り込めない構造を作る発想を与える。

   出典

   • OWASP Proactive Controls - OWASP Foundation
3. 3 / 3セキュア・バイ・デザイン上級

   なぜ先に読むのか: 型ベースの堅牢な設計思想を掴んだら、それを開発プロセスに組み込む段へ進む。STRIDEによる脅威モデリングは、アタックサーフェスと信頼境界を体系的に洗い出し、設計レビューの軸を与える。

   出典

   • Threat Modeling - OWASP Foundation