イントロダクション

対象の読者

EC-CUBE2系の頃から、商用のセキュリティテストツールを導入し、リリース前にはセキュリティテストを実施してきました。

しかし、ツールの特性上、テストできる環境が限られ、横展開が難しく、誰もがセキュリティテストを実施できる状況ではありませんでした。

今回、 OWASP ZAP を導入したことにより、誰でも簡単にテストを試せるようになりました。確実に漏れなくテストをするのは簡単ではありませんが、EC-CUBEの内部構造を把握している開発者だからこそ、有用なテストもあります。

テストの最終段階だけではなく、ぜひ、普段の開発中でも OWASP ZAP を活用していただき、EC-CUBEの安全性を高め、テストの改善にご協力いただければ幸いです。

従来、個別のカスタマイズ案件でのセキュリティテストは、専門機関に依頼し、独自に実施する以外方法がありませんでした。

これには多額の費用がかかるため、一部の大型案件以外ではセキュリティテストの実施は困難でした。

プラグイン開発時においても、セキュリティテストを実施するのは難しく、リリース後に脆弱性が発覚するケースも多く見受けられました。

OWASP ZAP の導入と、このドキュメントの作成により、個別のカスタマイズ案件やプラグイン開発時でも容易にテストできるようになりました。ぜひ、ご自身の係わる案件、プラグインなどにもセキュリティテストを導入していただき、安心安全なECプラットフォームを創っていけたらと思います。

OWASP ZAP の導入により、開発者でなくても、できるだけ簡単にセットアップできるようになりました。ぜひセキュリティテストにも取り組んでいただき、ご自身のキャリアにも活かしていただけれあば幸いです。

EC-CUBE本体のセキュリティテストは、 EC-CUBE本体開発者がテストしています。このドキュメントを書いているのも、EC-CUBE本体開発者であり、セキュリティの専門家ではありません。

セキュリティについての知識向上に努力を惜しまず、日々改善を重ねておりますが、どうしても限界があります。ぜひ、このセキュリティテストも試していただき、専門家の立場からフィードバックしていただければ幸いです。