Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWT2017JP - The Shift Left Path

OWASP Japan
September 30, 2017

OWT2017JP - The Shift Left Path

#OWT2017JP
Closing session by Riotaro OKADA, OWASP Japan

OWASP Japan

September 30, 2017
Tweet

More Decks by OWASP Japan

Other Decks in Technology

Transcript

  1. テスト(DAST) 直す 隠す 無視・ あきらめ テスト(SAST) 開発サイドの悩み アプリケーションセキュリティスキ ルとツールの不足 予算配分管理の欠如

    デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握がで きていない 開発、セキュリティ、事業部のサ イロ化によるコミュニケーションコ スト増 脆弱性修正すると動かなくなるこ とへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ? 「リリース間際のセキュリティテストは実施しています!」 しかも高額。
  2. SHIFT LEFT KPI • 運用管理チームは脆弱性やアプリケーションのログを管理し、 開発・設計チームへのフィードバックを提供しよう • 実装チームは、どうすればセキュアなのかを確信できる方法を構築しよう。 それをすぐに手早く検証できる手段を整備しよう •

    設計チームは、つくりやすい・メンテしやすい・壊されにくいコンポーネントや、 アーキテクチャの選択、攻撃面の認識、リスクベーステスト計画を。 • 要件定義の段階でセキュリティ品質・施策の優先順位を決定しているか。 コンプライアンスの影響はどこにあるか。 • 開発・運用イニシアチブとして、情報・教育・ツールを備えよう。そして、更新しよう。 10
  3. OWASP HOKUSHINETSU, OWASP AKITA OWASP NAGOYA 2017 坂梨 功典、村井 剛

    OWASP NATORI 2017 佐藤 将太 OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP OKINAWA 2016 淵上真一・又吉伸穂 OWASP SENDAI 2015 小笠貴晴・ 佐藤ようすけ OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 OWASP Community in Japan
  4. 設計段階でできることは実装に貢献する ©Asterisk Research, Inc. 15 0 10 20 30 40

    50 60 70 80 90 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT SHIFT LEFT