ホーム > 各種情報 > 公開ホームページにおける javascript の使い方について
公開ホームページにおける javascript の使い方について
-
脆弱性リスクの認識と継続的な学習:
ウェブサイトで使用する全てのJavaScriptライブラリ、フレームワーク、CMSプラグイン等(以下、「ライブラリ等」)には、脆弱性が存在する可能性があることを常に認識してください。
サードパーティ製のコードを利用することのリスクと、定期的な情報収集および更新の重要性を理解してください。
-
脆弱性が存在するバージョンの利用禁止:
既知の脆弱性が報告されており、かつ修正パッチが提供されていない、あるいは適用されていないバージョンのライブラリ等は、絶対に使用しないでください。
脆弱性情報データベース(例: NVD - National Vulnerability Database、JVN - Japan Vulnerability Notes)や、利用しているライブラリ等の公式セキュリティアドバイザリを定期的に確認してください。
-
最新かつサポートされているバージョンの利用:
原則として、利用するライブラリ等は、最新の安定版 (Stable) であり、かつ開発元によって積極的にサポートされている(セキュリティアップデートが提供されている)バージョンを使用することを強く推奨します。
サポートが終了した(EOL: End-of-Life)バージョンの利用は避けてください。(例: jQueryであれば、特別な理由がない限り最新の3.x系統を利用する)
-
ライブラリ等の管理と取得方法:
ライブラリ等は、サイト内に直接配置して管理するか、信頼できるCDN(Content Delivery Network)から読み込むことができます。
CDNを利用する場合: 必ず Subresource Integrity (SRI) を実装してください。これにより、CDN上でファイルが改竄されていないことをブラウザが検証でき、セキュリティリスクを低減できます。
サイト内に配置する場合: バージョン管理を適切に行い、更新作業を確実に行ってください。
-
依存関係の管理と監査:
パッケージマネージャー(npm, yarn 等)を利用してライブラリ等の依存関係を管理し、npm audit や yarn audit、またはGitHubのDependabotのようなツールを用いて、開発・保守プロセス中に既知の脆弱性を定期的にチェックしてください。
-
継続的な監視と迅速な対応:
ホームページ公開後も、使用しているライブラリ等の脆弱性情報に常に注意を払い、サポートを継続してください。
脆弱性が発見された場合、速やかにライブラリ等のアップデート、パッチ適用、または代替ライブラリへの移行等の改修を行ってください。
重大な脆弱性が放置されるなど、セキュリティ上の問題が解消されない場合、利用者保護および組織全体の情報資産保護の観点から、担当部署(例:情報センター)の判断により、予告なくサイトの公開停止を含む措置を講じることがあります。
-
必要最小限の利用とシンプルな実装:
可能な限り、ウェブサイトの機能要件を満たす範囲で、JavaScriptライブラリ等の利用は必要最小限に留めるように努めてください。
単純な機能であれば、最新のブラウザが標準で提供するAPI(Vanilla JS)の活用も検討し、過度な依存を避けてください。
コードの複雑性を抑え、メンテナンスしやすいシンプルな実装を心がけてください。
↑