Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Night 2019.03 Tokyo

OWASP Night 2019.03 Tokyo

OWASP Night 2019.03 in Tokyo,

"OWASP Update" by Riotaro OKADA and Sen UENO, OWASP Japan leads.

OWASP Japan

March 11, 2019
Tweet

More Decks by OWASP Japan

Other Decks in Technology

Transcript

  1. OWASP Night
    「OWASP アップデート」
    岡田良太郎、上野宣 (OWASP Japan )
    「node.js セキュリティ(仮)」
    はせがわようすけ (OWASP Kansai)
    「セキュア開発の取り組み(仮)」
    松田 康司 (神戸デジタル・ラボ)
    最近の観測 (仮)
    根岸征史
    (OWASP Japan / インターネットイニシアティブ)
    2019.03

    View Slide

  2. ウェブアプリケー
    ション
    セキュリティ
    要件書3.0
    https://github.com/ueno1000/secreq
    脆弱性診断士スキルマッププロジェクト
    特定非営利活動法人日本ネットワークセキュリティ協会
    の日本セキュリティオペレーション事業者協議会のセ
    キュリティオペレーションガイドライン WG(WG1)と、
    OWASP Japan主催の共同ワーキンググループです。
    見所は!

    View Slide

  3. ASVS 4.0
    2019/3
    https://github.com/OWASP/ASVS/tree
    /master/4.0
    What’s New: (本文p8より)
    OWASP Top 10 2017およびOWASP
    Proactive Controls 2018に対応
    NIST 800-63-3 Digital Identity Guidelines
    に対応
    CWE マッピング対応
    サーバサイドコントロール一辺倒から脱却
    モバイルアプリケーションセキュリティ検証標
    準(MASVS)に譲ってASVS本体からは削除
    他にも影響の少ない管理策を削除して廃止
    Lead: Andrew van der Stock

    View Slide

  4. OWASP Top
    10(2017)
    Interpretation for
    Serverless
    Serverless: AWS, Azure, ...
    Top 10 and Serverless
    “Other risks to consider”
    - DoS
    - DoW
    - Insecure Secret management
    - Insecure Shared Space
    - Business logic
    / Flow manipulation
    https://www.owasp.org/images/5/5c/OWASP-Top-10-S
    erverless-Interpretation-en.pdf
    https://github.com/OWASP/Serverless-Top-10-Project

    View Slide

  5. 今年のAppSecEUは、
    テルアビブへ!
    OWASP Global AppSec Tel Aviv, Israel
    5/26 - 30, 2019
    Call for Papers 第2ラウンド開催中、4/10〆切
    参加登録はこちらから:
    https://telaviv.appsecglobal.org/
    ご質問はこのサイトあるいは
    OWASP Slack #appseceu まで

    View Slide

  6. OWASP全プロジェクトML、Google Groupsに移転
    加入は今すぐ:こちらから これまで Mailman on 自サーバ
    ● パスワードヘイブン
    ● 管理機構は共通パスワード方式
    ● スパム対応も手作業で大変
    ● スタッフ負荷も高い
    ● 80%はアクティブでない
    これからは Google Groups
    ● Google からG-Suiteを寄付
    ● MTA管理を0に
    ● 管理権限設定も柔軟
    https://www.owasp.org/index.php/Staff-Projects/Mailman-EOL

    View Slide