OWASP Top10 Translation YOMOYAMA talk by Sanae-san

Transcript

1. OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology （株）オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight

   2018 Kick-Off = OWASP x WASForum Night

2. Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか？ • リスク格付のお役に立ったでしょうか？ 2017/9/30

   1

3. A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信（RPCやIPC） –

   ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2

4. A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •

   スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3

5. +Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP

   Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4

6. 翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」＆「原文と文意が同じ」 2017/9/30 5

7. 翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか？ 「露出」なのか？ • OWASP Top 10 –

   2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6

8. 2017/9/30 7 JOIN OWASP