Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Ando-san
Search
OWASP Japan
January 10, 2018
0
520
OWASP Top10 Translation YOMOYAMA talk by Ando-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
340
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
180
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.3k
Shifting Left Like a Boss
owaspjapan
2
290
OWASP Top 10 and Your Web Apps
owaspjapan
2
380
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
240
elegance_of_OWASP_Top10_2017
owaspjapan
2
520
Featured
See All Featured
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
How GitHub (no longer) Works
holman
314
140k
Site-Speed That Sticks
csswizardry
9
620
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
Unsuck your backbone
ammeep
671
58k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Making the Leap to Tech Lead
cromwellryan
134
9.3k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
4 Signs Your Business is Dying
shpigford
183
22k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
14
1.5k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
The Language of Interfaces
destraynor
158
25k
Transcript
OWASP Top10翻訳の よもやま話 (株)オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off
= OWASP x WASForum Night
自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –
Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1
参画の手順わかりますか? 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる
翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利! Slackを追い かける
とにかく翻訳 とにかく githubにpush とにかくSlack に投稿
やりたいことをやるべし! • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい! • A1 インジェクション
– OWT 2017でA1を題材にしたから変わった部分を知り たい! • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う! 2017/9/30 4
2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •
SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう
2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな
い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映
2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •
失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する
2017:全般 ESAPIの言及が消えた! 2017/9/30 8
2017/9/30 9 JOIN OWASP
owaspjapan
pedronauck
holman
csswizardry
dougneiner
ammeep
scottboms
cromwellryan
yeseniaperezcruz
shpigford
reverentgeek
jeffersonlam
destraynor
