OWASP Night 2019.03 Tokyo

Transcript

1. OWASP Night
   「OWASP アップデート」
   岡田良太郎、上野宣 (OWASP Japan ）
   「node.js セキュリティ(仮)」
   はせがわようすけ (OWASP Kansai)
   「セキュア開発の取り組み(仮)」
   松田 康司 (神戸デジタル・ラボ)
   最近の観測 (仮)
   根岸征史
   （OWASP Japan / インターネットイニシアティブ）
   2019.03
   

   View Slide

2. ウェブアプリケー
   ション
   セキュリティ
   要件書3.0
   https://github.com/ueno1000/secreq
   脆弱性診断士スキルマッププロジェクト
   特定非営利活動法人日本ネットワークセキュリティ協会
   の日本セキュリティオペレーション事業者協議会のセ
   キュリティオペレーションガイドライン WG（WG1）と、
   OWASP Japan主催の共同ワーキンググループです。
   見所は！
   

   View Slide

3. ASVS 4.0
   2019/3
   https://github.com/OWASP/ASVS/tree
   /master/4.0
   What’s New: (本文p8より)
   OWASP Top 10 2017およびOWASP
   Proactive Controls 2018に対応
   NIST 800-63-3 Digital Identity Guidelines
   に対応
   CWE マッピング対応
   サーバサイドコントロール一辺倒から脱却
   モバイルアプリケーションセキュリティ検証標
   準（MASVS）に譲ってASVS本体からは削除
   他にも影響の少ない管理策を削除して廃止
   Lead: Andrew van der Stock
   

   View Slide

4. OWASP Top
   10(2017)
   Interpretation for
   Serverless
   Serverless: AWS, Azure, ...
   Top 10 and Serverless
   “Other risks to consider”
   - DoS
   - DoW
   - Insecure Secret management
   - Insecure Shared Space
   - Business logic
   / Flow manipulation
   https://www.owasp.org/images/5/5c/OWASP-Top-10-S
   erverless-Interpretation-en.pdf
   https://github.com/OWASP/Serverless-Top-10-Project
   

   View Slide

5. 今年のAppSecEUは、
   テルアビブへ！
   OWASP Global AppSec Tel Aviv, Israel
   5/26 - 30, 2019
   Call for Papers 第2ラウンド開催中、4/10〆切
   参加登録はこちらから:
   https://telaviv.appsecglobal.org/
   ご質問はこのサイトあるいは
   OWASP Slack #appseceu まで
   

   View Slide

6. OWASP全プロジェクトML、Google Groupsに移転
   加入は今すぐ：こちらから これまで Mailman on 自サーバ
   ● パスワードヘイブン
   ● 管理機構は共通パスワード方式
   ● スパム対応も手作業で大変
   ● スタッフ負荷も高い
   ● 80%はアクティブでない
   これからは Google Groups
   ● Google からG-Suiteを寄付
   ● MTA管理を0に
   ● 管理権限設定も柔軟
   https://www.owasp.org/index.php/Staff-Projects/Mailman-EOL
   

   View Slide