Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
Search
OWASP Japan
January 10, 2018
0
480
OWASP Top10 Translation YOMOYAMA talk by Sanae-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
320
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
970
20190107_AbuseCaseCheatSheet
owaspjapan
0
170
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
940
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.2k
Shifting Left Like a Boss
owaspjapan
2
280
OWASP Top 10 and Your Web Apps
owaspjapan
2
370
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
230
elegance_of_OWASP_Top10_2017
owaspjapan
2
510
Featured
See All Featured
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Done Done
chrislema
182
16k
The Cost Of JavaScript in 2023
addyosmani
47
7.4k
Building Your Own Lightsaber
phodgson
104
6.2k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Fireside Chat
paigeccino
35
3.2k
Producing Creativity
orderedlist
PRO
344
40k
The Language of Interfaces
destraynor
156
24k
Optimizing for Happiness
mojombo
377
70k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
51k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
Transcript
OWASP Top10翻訳のよもやま話 A8,A9,+R,Risk Rating Methodology (株)オージス総研 アプリケーションセキュリティソリューション部 早苗 朋宏 WASNight
2018 Kick-Off = OWASP x WASForum Night
Risk Rating Methodology • OWASP活動の中で最初の翻訳でした。 • どうですか? • リスク格付のお役に立ったでしょうか? 2017/9/30
1
A8:2017-安全でないデシリアライゼー ション • 定量的データに基づくわけではないが、業界調 査で問題になったので、2017にノミネート • こんなシリアライズが危ない – リモート間またはローカル内でのプロセス間通信(RPCやIPC) –
ワイヤプロトコル、Webサービス、メッセージブローカー – キャッシュ/永続化 – データベース、キャッシュサーバ、ファイルシステム – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン 2017/9/30 2
A9:2017-既知の脆弱性のあるコン ポーネントの使用 • 2013年版は、「既知の脆弱性を持つ」でした が、「持っている」ものでなく、「ある」もの • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的な方法を提案してい ます。 •
スキャナやチェッカツールの紹介など、より具 体的な解決を支援しています。 2017/9/30 3
+Rリスクに関する注記 • アプリケーションだけでなく、APIも追記されま した。 • それ以外は軽微な変更に留まります。 • 近々、Risk Rating MethodologyへOWASP
Top 10で用いた用語を反映をしたいと思ってます。 2017/9/30 4
翻訳の難しかったところ • 「原文に忠実」 ≠ 直訳 • 「日本語で違和感ない」&「原文と文意が同じ」 2017/9/30 5
翻訳で思い出に残っているところ • 「Exposure」は、 「暴露」なのか? 「露出」なのか? • OWASP Top 10 –
2013で 「普及度」だった「Prevalence」を 「蔓延度」として提案 「流行レベル」と言う案もありました。 – ここは大いに議論を呼びました 2017/9/30 6
2017/9/30 7 JOIN OWASP