Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
Search
OWASP Japan
January 10, 2018
0
510
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
370
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
200
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.4k
Shifting Left Like a Boss
owaspjapan
2
310
OWASP Top 10 and Your Web Apps
owaspjapan
2
400
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
270
elegance_of_OWASP_Top10_2017
owaspjapan
2
550
Featured
See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.7k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
61
48k
Making the Leap to Tech Lead
cromwellryan
135
9.7k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
870
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
250
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.6k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
140
End of SEO as We Know It (SMX Advanced Version)
ipullrank
2
3.9k
A designer walks into a library…
pauljervisheath
210
24k
So, you think you're a good person
axbom
PRO
0
1.9k
Technical Leadership for Architectural Decision Making
baasie
0
200
Transcript
OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology (株)オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight
2018 Kick-Off = OWASP x WASForum Night
Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか? • リスク格付のお役に立ったでしょうか? 2017/9/30
1
A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信(RPCやIPC) –
ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2
A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •
スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3
+Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP
Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4
翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」&「原文と文意が同じ」 2017/9/30 5
翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか? 「露出」なのか? • OWASP Top 10 –
2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6
2017/9/30 7 JOIN OWASP
owaspjapan
jnunemaker
soudai
cromwellryan
szymonslowik
mfonobong
bcantrill
destraynor
cassininazir
ipullrank
pauljervisheath
axbom
baasie
