| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris Studio 12.3 セキュリティーガイド Oracle Solaris Studio 12.3 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris Studio 12.3 セキュリティーガイド Oracle Solaris Studio 12.3 Information Library (日本語) |
2011 年 12 月
このマニュアルでは、Oracle Solaris Studio 開発者ツールをインストールするシステム管理者と、これを使用する開発者を対象としたセキュリティーの考慮事項について説明します。
このマニュアルには、次の情報が含まれます。
Oracle Solaris Studio は、Solaris および Linux プラットフォーム用のアプリケーションを開発、デバッグ、およびチューニングするための、コンパイラ、デバッガ、および分析ツールのスイートであり、統合開発環境 (IDE) です。他の開発ツールと同様に、Solaris Studio のコンパイラとツールは、本稼働環境から隔離された環境で使用されることを意図しています。この理由は、これらのツールは、実行中のアプリケーションを操作するためにユーザーからアクセスできるためです。セキュリティーの考慮事項の焦点になるのは一般的に本稼働環境ですが、開発者ツールおよび開発環境も、セキュリティーの観点から考慮するようにしてください。
保護が必要な資産を決定し、これらの資産を保護するための制御およびポリシーを設定する上で、システム管理者は重要な役割を担っています。Solaris Studio それ自体は、ユーザーがまだ持っていない資産またはオペレーティング環境の機能へのアクセスを提供しません。Solaris Studio によって追加されるリスクは、Solaris Studio を伴わない手段によって資産またはシステムへの無資格のアクセスを取得したユーザーが、セキュリティー違反の原因となる Solaris Studio 開発者ツールの機能を使用することを Solaris Studio が許可するということです。Solaris Studio ツールを実行中のユーザーは、オペレーティングシステムのインタフェースを直接使用することで、デバッガおよびアナライザによって利用されるすべての機能にアクセスできます。ただし、Solaris Studio ツールによって、アプリケーションの内部をプローブしたり、ハードウェアレジスタ、メモリー、およびスタックを操作したり、アプリケーションの実行を制御したりするための、これらのオペレーティングシステム機能を理解したり使用したりするのが容易になります。
Oracle Solaris Studio コンパイラおよびツールは、主に開発環境で使用するためのものです。Solaris Studio が本稼働環境で必要な場合 (たとえば、本稼働アプリケーションのデバッグやパフォーマンスボトルネックの分析など)、これらのツールへのアクセスを制限する手段を講じてください。開発タスクまたは本稼働タスクに必要な Solaris Studio コンポーネントのみインストールします。Solaris Studio パッケージインストーラでは、インストールする Studio コンポーネントをユーザーが選択できます。
Solaris Studio IDE では、Oracle でサポートされないプラグインをインストールできます。これらのプラグインなどの他社製のソフトウェアをダウンロードする前に、このようなプラグインのセキュリティー面での安全性を評価してください。
Solaris Studio のインストールは、特にセキュリティーパッチなどの最新のパッチを使用して常に最新の状態に維持してください。
Solaris Studio パフォーマンスアナライザおよび DLight 可観測性ツールでは、特定のデバッグタスクおよび分析タスクについて権限の引き上げが必要です。これらの権限は一時アカウントを使用して提供し、これらのアカウントを適切に監視してください。
Solaris Studio コンパイラおよびツールは、ログ、コアダンプ、およびオブジェクトファイルなどの出力ファイルを作成します。これらのファイルについてのアクセス権は、ユーザーのデフォルトのアクセス権を使用して設定されます。出力ファイルを不要なアクセスから保護するには、絶対に必要なアクセスのみ許可するようにデフォルトのアクセス権を制限してください。ユーザーはデフォルトのアクセス権を、Solaris および Linux の umask コマンドを使用して設定します。
Oracle Solaris Studio には、サポートされるプラットフォーム上で実行時サポートを提供するライブラリのセットが含まれています。コンピュート・インテンシブ・アプリケーションを対象としたパフォーマンスライブラリや、開発環境でアプリケーションのチューニングに使用されるデバッグおよびパフォーマンス分析ライブラリがあります。パフォーマンスおよび実行時ライブラリは本稼働環境で使用され、実行されるアプリケーションの必要に応じてシステム管理者によってインストールされます。
名前が暗に示すとおり、パフォーマンスライブラリはパフォーマンス用に最適化されており、つまり最大のパフォーマンスを得るためにデータ検査は最低限に抑制されています。パフォーマンスライブラリを使用する場合、アプリケーション開発者は、これらのライブラリに渡されるデータを検証する役割を担います。
IDE でリモート構築ホストを使用するには、ログイン資格が必要です。IDE が実行中のクライアントシステムでセキュリティーが損なわれると、リモートサーバーホストへの無許可アクセスを招く可能性があります。共有デスクトップ環境で、ログイン資格を保存することは、高レベルのセキュリティーを必要とする状況ではお勧めできません。
リモート開発に関連するもう 1 つの考慮領域は、リモート開発中にクライアントシステム上でソースコードがキャッシュされることです。IDE のパフォーマンスと応答性を向上させるために、IDE のリモート開発機能は、ソースコードなどのファイルをサーバーからクライアントマシンにキャッシュします。クライアントマシンのキャッシュフォルダは user_directory/var/cache/remote-files です。
Solaris および Linux プラットフォームでは、user_directory は ~/.solstudio/ide-12.3-OS-architecture (たとえば、~/.solstudio/ide-12.3-SunOS-i386) です。
Microsoft Windows プラットフォームでは、user_directory は ~/Application Data/.solstudio/dd-12.3 です。
Mac OS X プラットフォームでは、user_directory は ~/Library/Application\ Support/solstudio/dd-12.3 です。
機密に関わるセキュリティー環境では、削除や暗号化などを含め、このキャッシュフォルダに注意を払ってください。