OWASP Top10翻訳のよもやま話A8,A9,+R,Risk Rating Methodology(株)オージス総研アプリケーションセキュリティソリューション部早苗 朋宏WASNight 2018 Kick-Off =OWASP x WASForum Night
View Slide
Risk Rating Methodology• OWASP活動の中で最初の翻訳でした。• どうですか?• リスク格付のお役に立ったでしょうか?2017/9/30 1
A8:2017-安全でないデシリアライゼーション• 定量的データに基づくわけではないが、業界調査で問題になったので、2017にノミネート• こんなシリアライズが危ない– リモート間またはローカル内でのプロセス間通信(RPCやIPC)– ワイヤプロトコル、Webサービス、メッセージブローカー– キャッシュ/永続化– データベース、キャッシュサーバ、ファイルシステム– HTTPクッキー、HTMLフォームのパラメータ、API認証トークン2017/9/30 2
A9:2017-既知の脆弱性のあるコンポーネントの使用• 2013年版は、「既知の脆弱性を持つ」でしたが、「持っている」ものでなく、「ある」もの• 脆弱性発見のポイントや防止方法において、2013年よりもより具体的な方法を提案しています。• スキャナやチェッカツールの紹介など、より具体的な解決を支援しています。2017/9/30 3
+Rリスクに関する注記• アプリケーションだけでなく、APIも追記されました。• それ以外は軽微な変更に留まります。• 近々、Risk Rating MethodologyへOWASP Top10で用いた用語を反映をしたいと思ってます。2017/9/30 4
翻訳の難しかったところ• 「原文に忠実」 ≠ 直訳• 「日本語で違和感ない」&「原文と文意が同じ」2017/9/30 5
翻訳で思い出に残っているところ• 「Exposure」は、「暴露」なのか?「露出」なのか?• OWASP Top 10 – 2013で「普及度」だった「Prevalence」を「蔓延度」として提案「流行レベル」と言う案もありました。– ここは大いに議論を呼びました2017/9/30 6
2017/9/30 7JOIN OWASP