OWASP Night 2019.03 Tokyo

Transcript

1. OWASP Night 「OWASP アップデート」 岡田良太郎、上野宣 (OWASP Japan ） 「node.js セキュリティ(仮)」

   はせがわようすけ (OWASP Kansai) 「セキュア開発の取り組み(仮)」 松田 康司 (神戸デジタル・ラボ) 最近の観測 (仮) 根岸征史 （OWASP Japan / インターネットイニシアティブ） 2019.03

2. ウェブアプリケー ション セキュリティ 要件書3.0 https://github.com/ueno1000/secreq 脆弱性診断士スキルマッププロジェクト 特定非営利活動法人日本ネットワークセキュリティ協会 の日本セキュリティオペレーション事業者協議会のセ キュリティオペレーションガイドライン WG（WG1）と、

   OWASP Japan主催の共同ワーキンググループです。 見所は！

3. ASVS 4.0 2019/3 https://github.com/OWASP/ASVS/tree /master/4.0 What’s New: (本文p8より) OWASP Top

   10 2017およびOWASP Proactive Controls 2018に対応 NIST 800-63-3 Digital Identity Guidelines に対応 CWE マッピング対応 サーバサイドコントロール一辺倒から脱却 モバイルアプリケーションセキュリティ検証標 準（MASVS）に譲ってASVS本体からは削除 他にも影響の少ない管理策を削除して廃止 Lead: Andrew van der Stock

4. OWASP Top 10(2017) Interpretation for Serverless Serverless: AWS, Azure, ...

   Top 10 and Serverless “Other risks to consider” - DoS - DoW - Insecure Secret management - Insecure Shared Space - Business logic / Flow manipulation https://www.owasp.org/images/5/5c/OWASP-Top-10-S erverless-Interpretation-en.pdf https://github.com/OWASP/Serverless-Top-10-Project

5. 今年のAppSecEUは、 テルアビブへ！ OWASP Global AppSec Tel Aviv, Israel 5/26 -

   30, 2019 Call for Papers 第2ラウンド開催中、4/10〆切 参加登録はこちらから: https://telaviv.appsecglobal.org/ ご質問はこのサイトあるいは OWASP Slack #appseceu まで

6. OWASP全プロジェクトML、Google Groupsに移転 加入は今すぐ：こちらから これまで Mailman on 自サーバ • パスワードヘイブン •

   管理機構は共通パスワード方式 • スパム対応も手作業で大変 • スタッフ負荷も高い • 80%はアクティブでない これからは Google Groups • Google からG-Suiteを寄付 • MTA管理を0に • 管理権限設定も柔軟 https://www.owasp.org/index.php/Staff-Projects/Mailman-EOL