本講座では、「セキュアプログラミング無し」で合格するというコンセプトで解説をしております。なぜかというと、別の記事でも述べましたが、私にいただいた合格体験談の割合(セキュアプログラミングを選んだ人／全部の人数)でいうと、10人/40人でした。つまり、75%の人はセキュリアプログラミングを選んでいません。そして、選ばずに合格できるようになっています。

では、どこまでがセキュアプログラミングの範囲なのでしょうか。この講義では、以下の方針にしております。ですが、明確な線引きはありません。

・C言語やJavaなどのプログラムを読み込むの問題は解説をしない

・プログラミングに関連する内容であっても、午後Ⅱで問われた内容に関しては、解説をする。たとえば、DOMベースのXSS。

・午後１問１（ときに午後１問2）の「これぞセキュアプログラミング」という出題、午後Ⅱなどでは問われない内容は解説をしない。たとえば、HTTPヘッダインジェクションや、Same Origin Policy、セッションハイジャックの深いところ、など。

・ただ、上記の内容に関しても、キーワードおよび概要レベルは午後Ⅱでも問われるので、概要レベルは解説をする。