Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

OWASP-ProactiveControl2016-Japanese#20160227OWA...

OWASP Japan
February 27, 2016
540

 OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY

OWASP Japan

February 27, 2016
Tweet

Transcript

  1. OWASP Proactive Controls • "Proactive Control"とは"事前の対策" • OWASP Top 10で列挙した脆弱性を作りこまないようにするた

    めに、事前の対策についてまとめたガイドライン • セキュアなソフトウェア開発の具体的な第一歩 • 開発者に読んでもらいたいドキュメント https://www.owasp.org/index.php/OWASP_Proactive_Controls
  2. 2014→2016 変更点のみどころ が「もっとも大事」 – C1:早期に、繰り返しセキュリティを検証する – セキュリティテストを開発(テスト)プロセスに統合する • C5:アイデンティティと認証管理の実装 –

    多要素認証、モバイル、パスワードのハッシュ化などが追加 • C8:ロギングと侵入検知の実装 – AppSensor活用、モバイルが追加 • C9:セキュリティフレームワークやライブラリ を反映 • 全面に した記述 – エンコード、入力値検証、暗号化、ロギング • XSSでDomBasedXSSが加わった
  3. 【補足】C1:早期に、繰り返しセキュリティを検証する Security Testing > Security Scanning  11.6秒ごとにデプロイされるのに、ゲートウエイ型のセキュリティスキャンは対応できない  セキュリティ診断ツールでは機能面のセキュリティをテストできない

     セキュリティ診断ツールはDevOpsでいうプロセスの自働化に向かない  要求仕様はテストコードで記述することができる  「テストコード」は構成管理の対象とすることができる Continuous Security Testing with Devops - OWASP EU 2014 http://www.slideshare.net/StephendeVries2/continuous-security-testing-with-devops
  4. OWASP Proactive Controls 2016日本語版製作チーム • 倉持 浩明(OWASP Japan/株式会社ラック) • 藤本

    博史(株式会社ラック) • 永井 英徳(株式会社ラック) • 岡田 良太郎 (OWASP Japan/株式会社アスタリスク・リサーチ) • ロバート・ドラーチャ(OWASP Japan/株式会社アスタリスク・リサーチ) • 渡邉 浩一郎 • Kenichi Shibamoto 様 • Takanori Nakanowatari 様 • Satoshi Shida 様 • 緑川 敬紀 様 • Tokimoto Yoshinori 様 • 水野 史土 様 • owasp-japanメーリングリスト参加者の方々 レビューにご協力いただいた皆様(ありがとうございます!) • Hisae Aonami 様