Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

OWASP Japan
January 10, 2018
450

OWASP Top10 Translation YOMOYAMA talk by Sanae-san

OWASP Japan

January 10, 2018
Tweet

Transcript

  1. OWASP Top10翻訳のよもやま話
    A8,A9,+R,Risk Rating Methodology
    (株)オージス総研
    アプリケーションセキュリティソリューション部
    早苗 朋宏
    WASNight 2018 Kick-Off =
    OWASP x WASForum Night

    View Slide

  2. Risk Rating Methodology
    • OWASP活動の中で最初の翻訳でした。
    • どうですか?
    • リスク格付のお役に立ったでしょうか?
    2017/9/30 1

    View Slide

  3. A8:2017-安全でないデシリアライゼー
    ション
    • 定量的データに基づくわけではないが、業界調
    査で問題になったので、2017にノミネート
    • こんなシリアライズが危ない
    – リモート間またはローカル内でのプロセス間通信(RPCやIPC)
    – ワイヤプロトコル、Webサービス、メッセージブローカー
    – キャッシュ/永続化
    – データベース、キャッシュサーバ、ファイルシステム
    – HTTPクッキー、HTMLフォームのパラメータ、API認証トークン
    2017/9/30 2

    View Slide

  4. A9:2017-既知の脆弱性のあるコン
    ポーネントの使用
    • 2013年版は、「既知の脆弱性を持つ」でした
    が、「持っている」ものでなく、「ある」もの
    • 脆弱性発見のポイントや防止方法において、
    2013年よりもより具体的な方法を提案してい
    ます。
    • スキャナやチェッカツールの紹介など、より具
    体的な解決を支援しています。
    2017/9/30 3

    View Slide

  5. +Rリスクに関する注記
    • アプリケーションだけでなく、APIも追記されま
    した。
    • それ以外は軽微な変更に留まります。
    • 近々、Risk Rating MethodologyへOWASP Top
    10で用いた用語を反映をしたいと思ってます。
    2017/9/30 4

    View Slide

  6. 翻訳の難しかったところ
    • 「原文に忠実」 ≠ 直訳
    • 「日本語で違和感ない」&「原文と文意が同じ」
    2017/9/30 5

    View Slide

  7. 翻訳で思い出に残っているところ
    • 「Exposure」は、
    「暴露」なのか?
    「露出」なのか?
    • OWASP Top 10 – 2013で
    「普及度」だった「Prevalence」を
    「蔓延度」として提案
    「流行レベル」と言う案もありました。
    – ここは大いに議論を呼びました
    2017/9/30 6

    View Slide

  8. 2017/9/30 7
    JOIN OWASP

    View Slide