OWASP Top10翻訳のよもやま話(株)オージス総研アプリケーションセキュリティソリューション部安藤 崇周WASNight 2018 Kick-Off =OWASP x WASForum Night
View Slide
自己紹介• 仕事– ITアーキテクト– ITコンサルタント– PM– Scrum Master(CSM&CSPO)– プログラマ• OWASP活動– OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカーhttps://speakerdeck.com/owaspjapan/owt2017jp-owasp-top102017/9/30 1
参画の手順わかりますか?2017/9/30 2Owasp-Japanメーリングリストで募集連絡経歴をメールで送るSlackにInviteされる
翻訳作業の流れ2017/9/30 3OWASP Top10の原文はmdファイル。Visual Studio Code便利!Slackを追いかけるとにかく翻訳とにかくgithubにpushとにかくSlackに投稿
やりたいことをやるべし!• A10 不十分なロギングとモニタリング– アーキテクトとしては「ロギングとモニタリング」は当然やりたい!• A1 インジェクション– OWT 2017でA1を題材にしたから変わった部分を知りたい!• A5 アクセス制御の不備– みんなが奥ゆかしくて手を挙げないからやっちゃおう!2017/9/30 4
2017:A1 インジェクション2017/9/30 5• やっぱりインジェクションがA1に• 脆弱性発見のポイントや防止方法において、2013年よりもより具体的に記載• SASTとDASTといったツールの有効性に言及• どんなデータソースもインジェクションの経路になりえる…Top10の全部を読むのが面倒な人もA1は見ましょう
2017:A5 アクセス制御の不備2017/9/30 6• 2013:A4「安全でないオブジェクト直接参照」と2013:A7「機能レベルアクセス制御の欠落」をマージ• SAST、DASTだけでは有効性の検証ができない。アクセス制御に関する機能面での単体・結合テストが有効• マイクロサービス、SPA対応が大きく反映
2017:A10 不十分なロギングとモニタリング2017/9/30 7• 2017年版の新項目• タイムリーなインシデント対応のためにログとモニタリングを整備する• 失敗したログインのログも取りましょう• テストでの検証が大切• ASVS V8:エラー処理とログの保存に関する検証要件も併せて参照する
2017:全般 ESAPIの言及が消えた!2017/9/30 8
2017/9/30 9JOIN OWASP