Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

OWASP Japan
January 10, 2018
0
450

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

OWASP Japan

January 10, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
280
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
740
20190107_AbuseCaseCheatSheet
owaspjapan
0
130
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
680
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.7k
Shifting Left Like a Boss
owaspjapan
2
260
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
180
elegance_of_OWASP_Top10_2017
owaspjapan
2
440

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
Fireside Chat
paigeccino
18
2.2k
Typedesign – Prime Four
hannesfritz
35
1.8k
Writing Fast Ruby
sferik
615
59k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
49
15k
YesSQL, Process and Tooling at Scale
rocio
159
13k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
215
12k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
239
1.2M
Building Your Own Lightsaber
phodgson
97
5.2k
Become a Pro
speakerdeck
PRO
8
3.5k

Transcript

  1. OWASP Top10翻訳のよもやま話
    A8,A9,+R,Risk Rating Methodology
    (株)オージス総研
    アプリケーションセキュリティソリューション部
    早苗 朋宏
    WASNight 2018 Kick-Off =
    OWASP x WASForum Night

    View Slide

  2. Risk Rating Methodology
    • OWASP活動の中で最初の翻訳でした。
    • どうですか?
    • リスク格付のお役に立ったでしょうか?
    2017/9/30 1

    View Slide

  3. A8:2017-安全でないデシリアライゼー
    ション
    • 定量的データに基づくわけではないが、業界調
    査で問題になったので、2017にノミネート
    • こんなシリアライズが危ない
    – リモート間またはローカル内でのプロセス間通信(RPCやIPC)
    – ワイヤプロトコル、Webサービス、メッセージブローカー
    – キャッシュ/永続化
    – データベース、キャッシュサーバ、ファイルシステム
    – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン
    2017/9/30 2

    View Slide

  4. A9:2017-既知の脆弱性のあるコン
    ポーネントの使用
    • 2013年版は、「既知の脆弱性を持つ」でした
    が、「持っている」ものでなく、「ある」もの
    • 脆弱性発見のポイントや防止方法において、
    2013年よりもより具体的な方法を提案してい
    ます。
    • スキャナやチェッカツールの紹介など、より具
    体的な解決を支援しています。
    2017/9/30 3

    View Slide

  5. +Rリスクに関する注記
    • アプリケーションだけでなく、APIも追記されま
    した。
    • それ以外は軽微な変更に留まります。
    • 近々、Risk Rating MethodologyへOWASP Top
    10で用いた用語を反映をしたいと思ってます。
    2017/9/30 4

    View Slide

  6. 翻訳の難しかったところ
    • 「原文に忠実」 ≠ 直訳
    • 「日本語で違和感ない」&「原文と文意が同じ」
    2017/9/30 5

    View Slide

  7. 翻訳で思い出に残っているところ
    • 「Exposure」は、
    「暴露」なのか?
    「露出」なのか?
    • OWASP Top 10 – 2013で
    「普及度」だった「Prevalence」を
    「蔓延度」として提案
    「流行レベル」と言う案もありました。
    – ここは大いに議論を呼びました
    2017/9/30 6

    View Slide

  8. 2017/9/30 7
    JOIN OWASP

    View Slide