Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
Search
OWASP Japan
January 10, 2018
0
480
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
330
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
990
20190107_AbuseCaseCheatSheet
owaspjapan
0
170
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
950
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.2k
Shifting Left Like a Boss
owaspjapan
2
290
OWASP Top 10 and Your Web Apps
owaspjapan
2
370
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
230
elegance_of_OWASP_Top10_2017
owaspjapan
2
520
Featured
See All Featured
A designer walks into a library…
pauljervisheath
205
24k
Building Adaptive Systems
keathley
41
2.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
12
610
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
16
1.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
227
22k
Producing Creativity
orderedlist
PRO
344
40k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Code Review Best Practice
trishagee
67
18k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
25k
Building an army of robots
kneath
304
45k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Transcript
OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology (株)オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight
2018 Kick-Off = OWASP x WASForum Night
Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか? • リスク格付のお役に立ったでしょうか? 2017/9/30
1
A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信(RPCやIPC) –
ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2
A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •
スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3
+Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP
Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4
翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」&「原文と文意が同じ」 2017/9/30 5
翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか? 「露出」なのか? • OWASP Top 10 –
2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6
2017/9/30 7 JOIN OWASP